Trojan-Clicker.Win32.VB.sh

Материал из Total Malware Info

Trojan-Clicker.Win32.VB.sh Троянская программа, предназначенная для «накрутки» статистики посещаемости сайтов. Программа является приложением Windows (PE EXE-файл). Имеет размер 40960 байт. Написана на Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "Mypc.exe":

%System%\Mypc.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\Run]
"mypc"="Mypc.exe"

Деструктивная активность

Троянец создает свой ключ системного реестра:

[HKCU\Software\Microsoft\MYPC]

В этот ключ записывается дата инфицирования:

[HKCU\Software\Microsoft\MYPC]
Date

Затем обращается на страницу:

http://mtv.m*****v.com/mypc.htm?id=10-23

На этой странице расположен список ссылок. Эти ссылки помещаются в ключ системного реестра:

[HKCU\Software\Microsoft\ad]

Затем из этого ключа выбирается случайная ссылка и помещается в параметр по умолчанию ключа:

[HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow]
("default")="выбранная_ссылка"

Дата и время запроса по указанной ссылке записывается в ключе:

[HKCU\Software\Microsoft\ad]
"AdDate"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи <Диспетчера задач> завершить троянский процесс "Mypc.exe".

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить копию троянца:

%System%\Mypc.exe

3. Удалить ключи системного реестра:

[HKCU\Software\Microsoft\Windows\Run]
"mypc"="Mypc.exe"

[HKCU\Software\Microsoft\MYPC]

[HKCU\Software\Microsoft\ad]