Троянская программа, предназначенная для открытия без ведома пользователя интернет-страницы в окне браузера Internet Explorer.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем «%rnd%.exe», где «%rnd%» — набор случайных цифр и прописных латинских букв, например, «DC8RP» или «P5NS7AHA»:
%System%\%rnd%.exe
Деструктивная активность
Вирус создает в системном реестре следующие ключи:
[HKCR\HTTP\shell\open\command] "(default)" = "\"%System%\%rnd%.exe\" -nohome" [HKCU\Software\VB and VBA Program Settings\KExplorer\Settings] "Command" = "\"%\Program Files%\\Internet Explorer\\iexplore.exe\" -nohome" "Installed" = "1" [HKCR\HTTP\shell\open\ddeexec\Application] "(default)" = "KExplorer"
Троянец открывает во всплывающем окне Internet Explorer страницу:
http://terra.es/personal9/***2.html
Другие названия
Trojan-Clicker.Win32.VB.bg («Лаборатория Касперского») также известен как: TrojanClicker.Win32.VB.bg («Лаборатория Касперского»), Generic Downloader.a (McAfee), Trojan.Adclicker (Symantec), Trojan.Click.32833 (Doctor Web), TrojanClicker:Win32/VB.BG (RAV), TROJ_ADCLICKER.A (Trend Micro), TR/VB.DG (H+BEDV), Win32:Trojano-036 (ALWIL), Clicker.L (Grisoft), Trojan.Clicker.VB.BG (SOFTWIN), Trj/VB.L (Panda), Win32/TrojanClicker.VB.BG (Eset)