Trojan-Clicker.Win32.Agent.ac
Распространяется чаще всего в виде cab архива, типовое имя - 777.cab
Архив содержит внутри два файла - start.inf (inf файл для инсталляции трояна в систему) и vbsys2.dll (собственно, сам троян).
Работа start.inf сводится к одной команде по инсталляции:
run=rundll32 %EXTRACT_DIR%\vbsys2.dll start path=%EXTRACT_DIR%\vbsys2.dll
vbsys2.dll имеет размер 94208 байта (размер варьируется от версии к версии, но несущественно), написан на Microsoft Visual C с применением MFC, сжатие и шифровка исполняемого файла не применяются. Экспортирует несколько функций, в частности функцию "start".
Автозапуск данного трояна производится не совсем нестандартным образом - в реестре регистрируется CLSID {54645654-2225-4455-44A1-9F4543D34546} с описанием "System Check Application", а затем в ключе реестре HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad создается параметр SysCheck2, ссылающийся на данный CLSID. Сам файл vbsys2.dll размещается в папке WINDOWS\System32
После перезагрузки vbsys2.dll загружается процессом explorer.exe, никаких мер по маскировки этой DLL и ключа ее автозапуска не применяется. Вредоносное действие трояна состоит в том, что с некоторым интервалом он пытается открыть в браузере одну из заданных страничек (вероятно, для накрутки ее посещаемости) Изученные экземпляры обращались к logih.com, filost.com, открываемые URL имеют вид типа "540.filost.com/randomsites/banner.aspx", "www7.logih.com/777/help.asp".
Автоматический поиск:
AVZ обнаруживает известные ему версии по сигнатурам и производит эвристически поиск новых версий.
Обнаружение вручную:
1. Поиск библиотеки с характерным именем vbsys2.dll среди библиотек, загруженных процессом explorer.exe
2. Поиск посторонних элементов автозапуска, способ запуска - при помощи ShellServiceObjectDelayLoad
3. Поиск в реестре CLSID 54645654-2225-4455-44A1-9F4543D34546
Первые две операции удобно делать по протоколу анализа системы AVZ
Удаление вручную:
1. Удалить файл vbsys2.dll при помощи отложенного удаления AVZ (Файл/Отложенное удаление). При этом элемент автозапуска должен удалиться автоматически;
2. Перезагрузиться;
3. Проверить, удалился ли CLSID 54645654-2225-4455-44A1-9F4543D34546 при помощи поиска в реестре AVZ. Если не удалился - удалить вручную