Бесплатные антивирусы

Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic.
Запуск

При запуске троян копирует свой исполняемый файл в системный каталог Windows:
%System%\service.exe

Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MyApp" = "%System%\service.exe"

Действие

Троян изменяет значения следующих ключей реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
[HKCU\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
[HKEY_USERS\S-1-5-21-606747145-1060284298-839522115- 1003\.DEFAULT\Software\ Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
[HKEY_USERS\S-1-5-21-606747145-1060284298-839522115-1003\Software\ Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"

Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:
www.countering.de/***2000/click.exe
213.221.***.59/in.php
213.221.***.42/rankem.cgi
520009810531-****.bei.t-online.de/index.htm
www.countering.de/***2000/counter.exe

На момент создания описания данные ссылки не работали.
Удаление
Удалить оригинальный файл троянца.
Удалить созданный вирусом файл:
%System%\service.exe
Удалить параметры из ключей реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MyApp"="%System32%\service.exe"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title"="http://weesnich.de.vu"
"Start Page"="Microsuxx"
[HKCU\DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Window Title"="http://weesnich.de.vu"
"Start Page"="Microsuxx"
[HKEY_USERS\S-1-5-21-606747145-1060284298-839522115-1003\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Window Title"="http://weesnich.de.vu"
"Start Page"="Microsuxx"
[HKEY_USERS\S-1-5-21-606747145-1060284298-839522115-1003\Software\Microsoft\Internet Explorer\Main]
"Window Title"="http://weesnich.de.vu"
"Start Page"="Microsuxx"
Другие названия

Win32/TrojanClicker.Mobs.A (Eset)

TrojanClicker.Win32.Mobs («Лаборатория Касперского»)

Generic FDoS.b (McAfee)

Hacktool.Flooder (Symantec)

Trojan.SMSBomb.26624 (Doctor Web)

Troj/Mobs (Sophos)

TrojanClicker:Win32/Mobs (RAV)

TROJ_MOBS.A (Trend Micro)

BDS/Bomber.Srv (H+BEDV)

Win32:Trojan-gen. (ALWIL)

Trojan.Clicker.Mobs (SOFTWIN)

Trj/W32.Clicker.B (Panda)

Источник информации stopvirus.ru