Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Click3.9243

Добавлен в вирусную базу Dr.Web: 2014-08-04

Описание добавлено:

Троянец, предназначенный для «накрутки» количества переходов по рекламным ссылкам. Распространяется в рамках партнерской программы Installmonster (также известной как Zipmonster) под наименованием Ad Expert Browser.

После установки и успешного запуска Trojan.Click3.9243 создает в системе скрытый рабочий стол с именем mntdesktop55 и запускает в нем собственный процесс:

Desktop: mntdesktop55
X=0,Y=0,WIDTH=1024,HIGHT=768
------------------------------------------------
   hwnd: 0001017C
  title: ""
  class: "tooltips_class32"
exstype: 000000A8 WS_EX_TOPMOST WS_EX_TRANSPARENT WS_EX_TOOLWINDOW
  style: 84800002 WS_POPUP WS_CLIPSIBLINGS WS_CAPTION WS_BORDER
    pid: 00000938 aeb.exe
x=0,y=0,width=132,hight=38
------------------------------------------------
   hwnd: 00030180
  title: ".NET-BroadcastEventWindow.4.0.0.0.9c43c1.0"
  class: ".NET-BroadcastEventWindow.4.0.0.0.9c43c1.0"
exstype: 00000000
  style: 84000000 WS_POPUP WS_CLIPSIBLINGS
    pid: 00000938 aeb.exe
x=0,y=0,width=0,hight=0
------------------------------------------------
   hwnd: 0003016C
  title: ""
  class: "Chrome_SystemMessageWindow"
exstype: 00000100 WS_EX_WINDOWEDGE
  style: 04C00000 WS_CLIPSIBLINGS WS_CAPTION WS_BORDER WS_DLGFRAME
    pid: 00000938 aeb.exe
x=0,y=0,width=132,hight=38
------------------------------------------------
   hwnd: 00020158
  title: "Ads Expert Browser"
  class: "HwndWrapper[aeb.exe;;635cae48-2fd5-4c19-b97b-7812d5dca4d7]"
exstype: 00000180 WS_EX_TOOLWINDOW WS_EX_WINDOWEDGE
  style: 26CF0000 WS_MINIMIZE WS_CLIPSIBLINGS WS_CLIPCHILDREN WS_CAPTION 
WS_BORDER WS_DLGFRAME WS_SYSMENU WS_THICKFRAME WS_GROUP WS_TABSTOP 
WS_MINIMIZEBOX WS_MAXIMIZEBOX
    pid: 00000938 aeb.exe
x=0,y=701,width=160,hight=27
------------------------------------------------
   hwnd: 0002013A
  title: "Hidden Window"
  class: "HwndWrapper[aeb.exe;;4ed1725d-405f-47a5-bdde-785d013e0b65]"
exstype: 00000100 WS_EX_WINDOWEDGE
  style: 06CF0000 WS_CLIPSIBLINGS WS_CLIPCHILDREN WS_CAPTION WS_BORDER 
WS_DLGFRAME WS_SYSMENU WS_THICKFRAME WS_GROUP WS_TABSTOP WS_MINIMIZEBOX 
WS_MAXIMIZEBOX
    pid: 00000938 aeb.exe
x=25,y=25,width=768,hight=526
------------------------------------------------
   hwnd: 00040136
  title: "SystemResourceNotifyWindow"
  class: "HwndWrapper[aeb.exe;;c7e6d7e4-37fe-4f1e-93bf-315d897ceec3]"
exstype: 00000000
  style: 8C000000 WS_POPUP WS_DISABLED WS_CLIPSIBLINGS
    pid: 00000938 aeb.exe
x=0,y=0,width=0,hight=0
------------------------------------------------
   hwnd: 00050134
  title: "MediaContextNotificationWindow"
  class: "HwndWrapper[aeb.exe;;acb0ad30-c08a-4059-9835-bb0a141092cb]"
exstype: 00000000
  style: 84000000 WS_POPUP WS_CLIPSIBLINGS
    pid: 00000938 aeb.exe
x=0,y=0,width=0,hight=0
------------------------------------------------
   hwnd: 00010178
  title: ""
  class: "HwndWrapper[aeb.exe;;e4d0e45d-c3f1-4cbd-a399-6d92ae6c18df]"
exstype: 00000100 WS_EX_WINDOWEDGE
  style: 04C00000 WS_CLIPSIBLINGS WS_CAPTION WS_BORDER WS_DLGFRAME
    pid: 00000938 aeb.exe
x=0,y=0,width=132,hight=38
------------------------------------------------
   hwnd: 0001017A
  title: "Default IME"
  class: "IME"
exstype: 00000000
  style: 8C000000 WS_POPUP WS_DISABLED WS_CLIPSIBLINGS
    pid: 00000938 aeb.exe
x=0,y=0,width=0,hight=0

В скрытом режиме имитирует действия пользователя, эмулируя движения курсора мыши, щелкая по рекламным баннерам, прокручивая веб-страницы, загружая видеоролики (благодаря присутствию набора кодеков). Содержит набор значений user-agent:

namespace Ads_Expert_Browser
{
  public class MainWindow : Window, IResourceInterceptor, IComponentConnector
  {
    private static bool IsMainWindow = false;
    private static string subid = "";
    public static RegistryKey softwareKey = Registry.CurrentUser.OpenSubKey("Software", true);
    public static readonly ILog log = LogManager.GetLogger(typeof (MainWindow));
    private string[] user_7 = new string[4]
    {
      "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.114 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1870.2 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1862.2 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.86 Safari/537.36"
    };
    private string[] user_7_64 = new string[5]
    {
      "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.114 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1862.2 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1870.2 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.27 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.47 Safari/537.36"
    };
    private string[] user_8 = new string[3]
    {
      "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.114 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1862.2 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1870.2 Safari/537.36"
    };
    private string[] user_8_64 = new string[4]
    {
      "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.114 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1870.2 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1897.2 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1862.2 Safari/537.36"
    };
    private string[] user_8_1 = new string[4]
    {
      "Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.114 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1862.2 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.69 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.27 Safari/537.36"
    };
    private string[] user_8_1_64 = new string[4]
    {
      "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.114 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.27 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1916.69 Safari/537.36",
      "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML like Gecko) 
Chrome/35.0.1862.2 Safari/537.36"
    };
    private string[] urls_list = new string[35]
    {
      "Google.com",
      "Facebook.com",
      "Youtube.com",
      "Yahoo.com",
      "Wikipedia.org",
      "Twitter.com",
      "Amazon.com",
      "Live.com",
      "Linkedin.com",
      "Tmall.com",
      "Bing.com",
      "Wordpress.com",
      "Pinterest.com",
      "Ebay.com",
      "Instagram.com",
      "Ask.com",
      "Imdb.com",
      "Craigslist.org",
      "Reddit.com",
      "Blogger.com",
      "Aliexpress.com",
      "Cnn.com",
      "Vube.com",
      "Fifa.com",
      "Booking.com",
      "Vimeo.com",
      "Weather.com",
      "Forbes.com",
      "Businessinsider.com",
      "Chase.com",
      "Walmart.com",
      "Indeed.com",
      "Foxnews.com",
      "Tripadvisor.com",
      "Ikea.com"
    };
    private int TimeForRestart = 60;
    private int repeat = 5;
    private int clickCount = 5;
    private int repeatAtPage = 5;
    private int time = 360;
    private string startURL = "http://www.grimfullarop.com/";
    private int WaitForLoad = 120;
    private string id = "";
    public string s_date = "";
    private object TimeLocker = new object();
    private object ErrorLocker = new object();
    private const string app = "Awesomium Renderer";
    private ulong number_s;
    private Thread thr;
    private Thread Thr_download_page;
    private int number_strartN;
    private Thread thr_control;
    private Thread thr_check;
    private int number;
    private bool debug;
    private int tickClick;
    private static XDocument doc;
    public static RegistryKey hkMine;
    private bool isTimefromMoveExit;
    internal Grid grid;
    internal WebControl webControl1;
    private bool _contentLoaded;

В процессе своей работы Trojan.Click3.9243 отправляет на сервер злоумышленников перечень запущенных на инфицированном ПК процессов и сведения о нагрузке на процессор компьютера. Файлы троянца имеют цифровую подпись:

Signers: 
Mayris Corporation 
COMODO Code Signing CA 2 
UTN-USERFirst-Object 
AddTrust External CA Root 
Signing date: 18:37 01.07.2014

 

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке