Новый троянец NetBuie

Обнаружен новый «троянский конь» NetBuie, выполняющий периодические «клики» на банеры злоумышленника с целью поднять свой рейтинг. Вирус представляет собой самораспаковывающийся ZIP-архив, содержащий два EXE-файла, которые, в свою очередь, написаны на Visual Basic 6.0. Распространяется под видом эмулятора XBox.

Известны две версии троянца:

Trojan.Clicker.NetBuie.a

При первом запуске троянец распаковывает EXE-файлы в системный каталог Windows под именами %WinDir%SystemNBConfig.exe и %WinDir%SystemNetBUIE.exe.

После этого он создает в реестре новый ключ:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] «NetBUIE»=»C:windowssystemNetBUIE.exe»

и запускает файл NBConfig.exe. Последний при запуске выдает ложное сообщение об ошибке:

и запускает файл NetBUIE.exe, который периодически скрытно запускает веб-браузер, направляя его по одному из трех адресов:

http://hg1.hitbox.com/HGhc=w114&cd=1&hb=WQ500421D7CZ38EN0&n=Stealth4
http://fastcounter.bcentral.com/fastcounter?1817391+3634789
http://www.scorpionsearch.com/admin.html

Trojan.Clicker.NetBuie.b

При первом запуске троянец распаковывает EXE-файлы в системный каталог Windows под именами %WinDir%SystemDConfig.exe и %WinDir%SystemStealthXP.exe.

После этого он создает в реестре два новых ключа:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] «NetBUIE»=»»
«StealthXP»=»C:WINDOWSSYSTEMStealthXP.exe»

и запускает файл DConfig.exe. Последний при запуске выдает ложное сообщение об ошибке:

и запускает файл StealthXP.exe, который периодически скрытно запускает веб-браузер, направляя его по одному из трех адресов:

http://hg1.hitbox.com/HG?hc=w114&cd=1&hb=WQ500421D7CZ38EN0&n=Stealth4
http://fastcounter.bcentral.com/fastcounter?1817391+3634789
http://www.scorpionsearch.com/admin.html

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *