Trojan-Clicker.Win32. Small.kj

Троянская программа, предназначеная для накрутки счетчиков посещаемости сайтов.

Троянская программа, предназначеная для накрутки счетчиков посещаемости сайтов. Является приложением Windows (PE EXE-файл). Упакована при помощи FSG. Размер зараженных файлов варьируется в пределах от 5 до 36 КБ.

Инсталляция

После запуска троянец копирует себя в корневой каталог Windows с именем svchost.exe:

%Windir%\svchost.exe

Троянец регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon]
"Userinit"="%System%\userinit.exe,,%Windir%\svchost.exe%"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в корневой каталог Windows файл динамической бибилотеки с именем SYSHOST.DLL:

%Windir%\SYSHOST.DLL

Деструктивная активность

Троянец загружает из интернета в Microsoft Internet Explorer следующую станицу:

http://195.225.***.34/stat2/0034/tuk.php

Затем троянец пытается без ведома пользователя загрузить во временную папку Windows (%Temp%) следующие файлы:

http://195.225.***.34/stat2/0034/c1.txt
http://195.225.***.34/stat2/0034/c2.txt
http://195.225.***.34/stat2/0034/c3.txt