Trojan-Clicker.Win32. VB.bg

Троянская программа, предназначенная для открытия без ведома пользователя интернет-страницы в окне браузера Internet Explorer.

Троянская программа, предназначенная для открытия без ведома пользователя интернет-страницы в окне браузера Internet Explorer. Является приложением Windows (PE EXE-файл). Написана на Visual Basic. Имеет размер около 11 КБ. Упакована при помощи UPX. Размер распакованного файла — около 34 КБ.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем «%rnd%.exe», где «%rnd%» — набор случайных цифр и прописных латинских букв, например, «DC8RP» или «P5NS7AHA»:

%System%\%rnd%.exe

Деструктивная активность

Вирус создает в системном реестре следующие ключи:

[HKCR\HTTP\shell\open\command]
"(default)" = "\"%System%\%rnd%.exe\" -nohome"

[HKCU\Software\VB and VBA Program Settings\KExplorer\Settings]
"Command" = "\"%\Program Files%\\Internet Explorer\\iexplore.exe\" -nohome"
"Installed" = "1"

[HKCR\HTTP\shell\open\ddeexec\Application]
"(default)" = "KExplorer"

Троянец открывает во всплывающем окне Internet Explorer страницу:

http://terra.es/personal9/***2.html

Другие названия

Trojan-Clicker.Win32.VB.bg («Лаборатория Касперского») также известен как: TrojanClicker.Win32.VB.bg («Лаборатория Касперского»), Generic Downloader.a (McAfee), Trojan.Adclicker (Symantec), Trojan.Click.32833 (Doctor Web), TrojanClicker:Win32/VB.BG (RAV), TROJ_ADCLICKER.A (Trend Micro), TR/VB.DG (H+BEDV), Win32:Trojano-036 (ALWIL), Clicker.L (Grisoft), Trojan.Clicker.VB.BG (SOFTWIN), Trj/VB.L (Panda), Win32/TrojanClicker.VB.BG (Eset)