Trojan-Clicker.Win32.VB.cr

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Clicker.Win32.VB.cr Троянская программа, созданная для открытия в окне интернет браузера страницы без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 19 968 байт. Упакована при помощи PECompact. Размер распакованного файла около ~ 44 КБ. Язык написания Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows и корневой каталог Windows под именами "taskmgr.exe" и "N0TEPAD.EXE": 

%WinDir%\N0TEPAD.EXE
%WinDir%\system\N0TEPAD.EXE
%WinDir%\system\taskmgr.exe

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"taskmgr"="%WinDir%\\system\\taskmgr.exe"

Деструктивная активность

Троянец заменяет ключ системного реестра: 

[HKCR\txtfile\shell\open\command]
"(default)"="NOTEPAD.EXE"

на 

[HKCR\txtfile\shell\open\command]
"(default)"="N0TEPAD.EXE"

Такое действие приведет к запуску исполнимого файла троянца вместо стандартной программы "Блокнот" при попытке открыть любой текстовый файл (файлы с расширением ".txt"). Кроме того, троянец открывает в Internet Explorer страницу: 

http://www.****h.to/ (на момент создания описания ссылка не работала)

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. При помощи ("Диспетчера задач") завершить троянский процесс.
  3. Удалить файлы, созданные троянцем:
    4. %WinDir%\N0TEPAD.EXE
%WinDir%\system\N0TEPAD.EXE
%WinDir%\system\taskmgr.exe
  4. Удалить ключи системного реестра (как работать с реестром?):
    5. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"taskmgr"="%WinDir%\\system\\taskmgr.exe"

Вернуть значение ключа системного реестра (как работать с реестром?): 

[HKCR\txtfile\shell\open\command]
"(default)"="N0TEPAD.EXE"

в исходное.

Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Clicker.Win32.VB.cr»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.