Авторы
Обнаружен новый «троянский конь» NetBuie, выполняющий периодические «клики» на банеры злоумышленника с целью поднять свой рейтинг. Вирус представляет собой самораспаковывающийся ZIP-архив, содержащий два EXE-файла, которые, в свою очередь, написаны на Visual Basic 6.0. Распространяется под видом эмулятора XBox.
Известны две версии троянца:
Trojan.Clicker.NetBuie.a
При первом запуске троянец распаковывает EXE-файлы в системный каталог Windows под именами %WinDir%SystemNBConfig.exe и %WinDir%SystemNetBUIE.exe.
После этого он создает в реестре новый ключ:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] «NetBUIE»=»C:windowssystemNetBUIE.exe»
и запускает файл NBConfig.exe. Последний при запуске выдает ложное сообщение об ошибке:
и запускает файл NetBUIE.exe, который периодически скрытно запускает веб-браузер, направляя его по одному из трех адресов:
http://hg1.hitbox.com/HGhc=w114&cd=1&hb=WQ500421D7CZ38EN0&n=Stealth4
http://fastcounter.bcentral.com/fastcounter?1817391+3634789
http://www.scorpionsearch.com/admin.html
Trojan.Clicker.NetBuie.b
При первом запуске троянец распаковывает EXE-файлы в системный каталог Windows под именами %WinDir%SystemDConfig.exe и %WinDir%SystemStealthXP.exe.
После этого он создает в реестре два новых ключа:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] «NetBUIE»=»»
«StealthXP»=»C:WINDOWSSYSTEMStealthXP.exe»
и запускает файл DConfig.exe. Последний при запуске выдает ложное сообщение об ошибке:
и запускает файл StealthXP.exe, который периодически скрытно запускает веб-браузер, направляя его по одному из трех адресов:
http://hg1.hitbox.com/HG?hc=w114&cd=1&hb=WQ500421D7CZ38EN0&n=Stealth4
http://fastcounter.bcentral.com/fastcounter?1817391+3634789
http://www.scorpionsearch.com/admin.html
Авторы
От тех же авторов
В той же категории
Новый троянец NetBuie