На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Clicker

Trojan-Clicker.Win32.Small.jf


Rootkit:  Нет
Видимые проявления:  Появление постороннего BHO

Данная вредоносная программа состоит из двух компонент. Первый из них - DR140306.exe (размер 38040 байт) является Trojan-Dropper. После запуска он скрытно выполняет следующие операции:

1. Создает временный файл TEMP\nsk1.tmp, затем удаляет его
2. Создает ключ реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DH
3. Регистрирует BHO для Internet Explorer с CLSID 6001CDF7-6F45-471b-A203-0225615E35A7 и соответственно класс с таким же CLSID. Исполняемый файл - WINDOWS\DH.dll
4. Создает файл WINDOWS\DH.dll

Файл DH.dll имеет размер 10752 байт, не сжат. Его деятельность сводится к скрытному обращению к сайту http://apps.deskwizz.com, с которого загружается небольшой текстовый файл, содержащий список адресов баннеров (во время исследования таких адресов было 5 штук, все размещались на сайте banners.searchingbooth.com). После первого запуска dh.dll создает INI файл с настройкой (dh.ini, размещается там же, где dh.dll). В файле настроек есть прямая ссылка на троянскую программу, которая внедряет в Active Desktop троянские HTML страницы, отображающие рекламу во всплывающих окнах.

Удаление вручную
1. При помощи отложенного удаления AVZ удалить файл dh.dll. При этому удаление класса и BHO произойдет автоматически

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.