Trojan-Clicker.Win32.VB.bg
Материал из Total Malware Info
Trojan-Clicker.Win32.VB.bg Троянская программа, созданная для открытия в окне Internet Explorer интернет страницы без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 11 890 байта. Упакована при помощи UPX. Размер распакованного файла около ~ 32 КБ. Язык написания Visual Basic.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "%rnd%.exe" (где %rnd% - набор случайных цифр и больших латинских букв, например, "DC8RP" или "P5NS7AHA"):
%System%\%rnd%.exe
Деструктивная активность Создает в системном реестре ключи:
[HKCR\HTTP\shell\open\command] "(default)"="\"%System%\38JMC.exe\" -nohome" [HKCU\Software\VB and VBA Program Settings\KExplorer\Settings] "Command"="\"%\Program Files%\\Internet Explorer\\iexplore.exe\" -nohome" "Installed"="1" [HKCR\HTTP\shell\open\ddeexec\Application] "(default)"="KExplorer"
Открывает во всплывающем окне Internet Explorer страницу:
http://te****es/personal9/f6p16a/index2.html (на момент создания описания ссылка не работала)
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл, созданный троянцем:
- Удалить ключи системного реестра (как работать с реестром?):
%System%\%rnd%.exe
[HKCR\HTTP\shell\open\command] "(default)"="\"%System%\%rnd%.exe\" -nohome" [HKCU\Software\VB and VBA Program Settings\KExplorer\Settings] "Command"="\"%\Program Files%\\Internet Explorer\\iexplore.exe\" -nohome" "Installed"="1" [HKCR\HTTP\shell\open\ddeexec\Application] "(default)"="KExplorer"
