Поведение
Trojan-Clicker, интернет-кликер.
Технические детали
Троянская программа, открывающая различные веб-страницы без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 5120 байт. Упакована при помощи FSG, распакованный размер – около 23 КБ.
Инсталляция
Троянец добавляет правило в брандмауэр Windows, которое разрешает троянскому процессу любую сетевую активность.
Деструктивная активность
Троянец внедряет свой код в процесс explorer.exe, который скачивает файлы по следующим ссылкам:
http://www.spamcatchero.biz/*****/bot.dll
http://iframebiz.com/exe.php?*****
Скачанные файлы сохраняются соответственно в системном и временном каталогах Windows:
%System%/advvpi32.dll %Temp%/
После чего файлы запускаются на исполнение.
На момент создания описания указанные ссылки не работали.
Затем троянец открывает следующую ссылку без ведома пользователя:
iframebiz.com/install.php?*****
И удаляет свой оригинальный файл.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл: %System%/advvpi32.dll
- Очистить содержимое папки %Temp%.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
