18.06.2006
Trojan-Clicker.Win32.Small.jf
Данная вредоносная программа состоит из двух компонент. Первый из них - DR140306.exe (размер 38040 байт) является Trojan-Dropper. После запуска он скрытно выполняет следующие операции:
1. Создает временный файл TEMP\nsk1.tmp, затем удаляет его
2. Создает ключ реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DH
3. Регистрирует BHO для Internet Explorer с CLSID 6001CDF7-6F45-471b-A203-0225615E35A7 и соответственно класс с таким же CLSID. Исполняемый файл - WINDOWS\DH.dll
4. Создает файл WINDOWS\DH.dll
Файл DH.dll имеет размер 10752 байт, не сжат. Его деятельность сводится к скрытному обращению к сайту http://apps.deskwizz.com, с которого загружается небольшой текстовый файл, содержащий список адресов баннеров (во время исследования таких адресов было 5 штук, все размещались на сайте banners.searchingbooth.com). После первого запуска dh.dll создает INI файл с настройкой (dh.ini, размещается там же, где dh.dll). В файле настроек есть прямая ссылка на троянскую программу, которая внедряет в Active Desktop троянские HTML страницы, отображающие рекламу во всплывающих окнах.
Удаление вручную
1. При помощи отложенного удаления AVZ удалить файл dh.dll. При этому удаление класса и BHO произойдет автоматически