RSS-каналы
Уровень опасности: 1
Следите в 
Trojan-Clicker.JS.Agent.nv
| Время детектирования | 07 июн 2010 11:32 MSK |
| Время выпуска обновления | 07 июн 2010 17:02 MSK |
| Описание опубликовано | 24 сен 2010 17:22 MSK |
Экспертное описание
Автоматическое описание
Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.
Технические детали
Деструктивная активность
Рекомендации по удалению
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Представляет собой HTML документ, который содержит в своем коде вредоносный сценарий языка Java Script. Имеет размер 10718 байт.
Деструктивная активность
После открытия зараженной страницы, троянец создает каталог:
%ProgramFiles%\WinRARЗатем определяет месторасположение браузера Internet Explorer, прочитав значение ключа реестра:
[HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]Также определяет путь к панели быстрого запуска:
%Documents and Settings%\%Current User%\Application Data\Microsoft\После этого троянец проверяет, передаются ли на вход скрипту дополнительные параметры и если параметры присутствуют – продолжает свое выполнение.
Internet Explorer\Quick Launch
Затем добавляет в системный реестр следующие ключи:
[HKCR\.qc]
"(default)"="qcfile"
[HKCR\qcfile]
"(default)"="їм?Э•?К?"
"NeverShowExt"=""
[HKCR\qcfile\CLSID]
"(default)"="{FBF23B40-E3F0-101B-8488-00AA003E56F8}"
[HKCR\qcfile\DefaultIcon]
"(default)"="%System%\url.dll,0 "
[HKCR\qcfile\shell]
"(default)"="open"
[HKCR\qcfile\shell\open]
"CLSID"="{FBF23B40-E3F0-101B-8488-00AA003E56F8}"
[HKCR\qcfile\shell\open\command]
"(default)"="WScript.exe \"C:\\Program Files\\WinRAR\\winrar.knl\" \"%1\""
[HKCR\qcfile\shellex]
[HKCR\qcfile\shellex\ContextMenuHandlers]
"(default)"=""
[HKCR\qcfile\shellex\IconHandler]
"(default)"="{FBF23B40-E3F0-101B-8488-00AA003E56F8}"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage]
"Favorites"=hex:ff,00,00,00
Далее вредонос, используя инструментарий WMI (Windows Management Instrumentation), пытается завершить процессы со следующими именами:
IEXPLOR.EXE MAXTHON.EXE THEWORLD.EXE IEXPLORE.EXE 360SE.EXE SOGOUEXPLORER.EXE TTRAVELER.EXE FIREFOX.EXEПосле этого вредонос выполняет ряд модификаций системного реестра:
- Скрывает значок браузера Internet Explorer с Рабочего стола:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoInternetIcon"=dword:00000001
- Включает отображение классического меню Пуск:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons] "ClassicStartMenu"=dword:00000001 - Скрывает отображение значка Internet Explorer на рабочем столе:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\NewStartPanel] "{871C5380-42A0-1069-A2EA-08002B30309D}"=dword:00000001
%Documents and Settings%\All Users\Рабочий стол\Internet Explerer.qc %Documents and Settings%\All Users\Рабочий стол\INTERNET EXPLERER.qcи записывает в него строки:
[360] Sex=АГИЛ Name=___C%3A%5CProgram%20Files%5CInternet%20Explorer%5Ciexplore.exe___ Tel=<<<>>> [InternetShortcut] URL=http://www.b***u.com IconIndex=0 IconFile=C:\Program Files\Internet Explorer\iexplore.exeУстанавливает файлу атрибут "Архивный". Используя инструментарий WMI, удаляет стандартные элементы рабочего стола, а именно "Мои документы", диалоговое окно "Поиск", "Корзина". Для этого троянец удаляет ключи со следующими уникальными идентификаторами:
{1f4de370-d627-11d1-ba4f-00a0c91eedba}
{450D8FBA-AD25-11D0-98A8-0800361B1103}
{645FF040-5081-101B-9F08-00AA002F954E}
{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\ Explorer\Desktop\После этого троянец находит все файлы с расширением "lnk" в каталогах:
NameSpace]
%Documents and Settings%\All Users\Рабочий стол %Documents and Settings%\%Current User%\Рабочий стол %Documents and Settings%\%Current User%\Application Data\Microsoft\и заменяет их содержимое по следующему шаблону:
Internet Explorer\Quick Launch
[360] Sex=АГИЛ Name=___<полный_путь_к_исполняемому_файлу>___ Tel=<<<>>> [InternetShortcut] URL=http://www.b***u.com IconIndex=0 IconFile=<полный_путь_к_файлу_содержащему_оригинальную_иконку>Далее устанавливает файлам-ярлыкам атрибут "Архивный". В завершении троянец запускает на выполнение Internet Explorer и открывает в нем вэб ресурс, который располагается по ссылке:
http://www.7***2.com
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Удалить ключи системного реестра:
[HKCR\.qc] [HKCR\qcfile]
- Установить в "0" значение параметров следующих ключей реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoInternetIcon"=dword:00000001 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons] "ClassicStartMenu"=dword:00000001 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\NewStartPanel] "{871C5380-42A0-1069-A2EA-08002B30309D}"=dword:00000001 - Восстановить оригинальные значения параметров в ключах реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\ Explorer\
Desktop\NameSpace\ {1f4de370-d627-11d1-ba4f-00a0c91eedba}] [HKLM\Software\Microsoft\Windows\CurrentVersion\ Explorer\
Desktop\NameSpace\ {450D8FBA-AD25-11D0-98A8-0800361B1103}] [HKLM\Software\Microsoft\Windows\CurrentVersion\ Explorer\
Desktop\NameSpace\ {645FF040-5081-101B-9F08-00AA002F954E}] [HKLM\Software\Microsoft\Windows\CurrentVersion\ Explorer\
Desktop\NameSpace\ {e17d4fc0-5564-11d1-83f2-00a0c90dc849}] - Восстановить все оригинальные ярлыки на рабочем столе и на панели быстрого запуска:
%Documents and Settings%\All Users\Рабочий стол %Documents and Settings%\%Current User%\Рабочий стол %Documents and Settings%\%Current User%\Application Data\Microsoft
\Internet Explorer\Quick Launch - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Trojan-Clicker
Вредоносная программа, предназначенная для несанкционированного пользователем обращения к интернет-ресурсам (обычно, к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).
У злоумышленника могут быть следующие цели для подобных действий:
- увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
- организация DoS-атаки (Denial of Service) на какой-либо сервер;
- привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Другие модификации
Другие названия
Trojan-Clicker.
- Trojan-Clicker.
Win32. Agent. lzs («Лаборатория Касперского») - Trojan:
StartPage-NE (McAfee) - Trojan:
Generic. dx!ujd (McAfee) - Mal/Generic-L (Sophos)
- Trojan.
Dropper-25041 (ClamAV) - Trj/Clicker.
ASQ (Panda) - JS/Agent.
NZ (FPROT) - TrojanDownloader:
Win32/Agent. NN (MS(OneCare)) - Trojan.
DownLoad1. 64189 (DrWeb) - JS/TrojanClicker.
Agent. NV trojan (Nod32) - Trojan.
StartPage. ZRC (BitDef7) - Trojan.
JS. StartPage. IZ (BitDef7) - VBS.
Startpage. TMU (VirusBuster) - Trojan-Downloader.
Agent (Ikarus) - Trojan-Clicker.
JS. Agent (Ikarus) - ProgramFilesDir/max2_133daohang4.
exe <<< TR/Dldr. Agent. myux (AVIRA) - Adware.
StartPage (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- VBS.
Startpage. TMU (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей