На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-Clicker

Trojan-Clicker.Win32.Agent.ac

Trojan-Clicker.Win32.Agent.ac

Распространяется чаще всего в виде cab архива, типовое имя - 777.cab
Архив содержит внутри два файла - start.inf (inf файл для инсталляции трояна в систему) и vbsys2.dll (собственно, сам троян).

Работа start.inf сводится к одной команде по инсталляции:
run=rundll32 %EXTRACT_DIR%\vbsys2.dll start path=%EXTRACT_DIR%\vbsys2.dll

vbsys2.dll имеет размер 94208 байта (размер варьируется от версии к версии, но несущественно), написан на Microsoft Visual C с применением MFC, сжатие и шифровка исполняемого файла не применяются. Экспортирует несколько функций, в частности функцию "start".
Автозапуск данного трояна производится не совсем нестандартным образом - в реестре регистрируется CLSID {54645654-2225-4455-44A1-9F4543D34546} с описанием "System Check Application", а затем в ключе реестре HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad создается параметр SysCheck2, ссылающийся на данный CLSID. Сам файл vbsys2.dll размещается в папке WINDOWS\System32

После перезагрузки vbsys2.dll загружается процессом explorer.exe, никаких мер по маскировки этой DLL и ключа ее автозапуска не применяется. Вредоносное действие трояна состоит в том, что с некоторым интервалом он пытается открыть в браузере одну из заданных страничек (вероятно, для накрутки ее посещаемости) Изученные экземпляры  обращались к logih.com, filost.com, открываемые URL имеют вид типа "540.filost.com/randomsites/banner.aspx", "www7.logih.com/777/help.asp".

Автоматический поиск:
AVZ обнаруживает известные ему версии по сигнатурам и производит эвристически поиск новых версий.

Обнаружение вручную:
1. Поиск библиотеки с характерным именем vbsys2.dll  среди библиотек, загруженных процессом explorer.exe
2. Поиск посторонних элементов автозапуска, способ запуска - при помощи   ShellServiceObjectDelayLoad
3. Поиск в реестре CLSID 54645654-2225-4455-44A1-9F4543D34546
Первые две операции удобно делать по протоколу анализа системы AVZ

Удаление вручную:
1. Удалить файл vbsys2.dll при помощи отложенного удаления AVZ (Файл/Отложенное удаление). При этом элемент автозапуска должен удалиться автоматически;
2. Перезагрузиться;
3. Проверить, удалился ли CLSID 54645654-2225-4455-44A1-9F4543D34546 при помощи поиска в реестре AVZ. Если не удалился - удалить вручную
Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.