Троянская программа, открывающая различные URL без ведома пользователя.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\service.exe
Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MyApp" = "%System%\service.exe"
Деструктивная активность
Троянец изменяет значения следующих ключей реестра:
* [HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
* [HKCU\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
* [HKEY_USERS\S-1-5-21-606747145-1060284298-839522115- 1003\.DEFAULT\
Software\ Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
* [HKEY_USERS\S-1-5-21-606747145-1060284298-839522115-1003\Software\
Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:
* http://www.countering.de/***2000/click.exe?a200639+1
* http://213.221.***.59/in.php?id=Daniel20gera
* http://213.221.***.42/rankem.cgi?id=daniel20
* http://520009810531-****.bei.t-online.de/index.htm
* http://www.countering.de/***2000/counter.exe?a200639+1
На момент создания описания данные ссылки не работали.
Другие названия
Trojan-Clicker.Win32.Mobs («Лаборатория Касперского») также известен как: TrojanClicker.Win32.Mobs («Лаборатория Касперского»), Generic FDoS.b (McAfee), Hacktool.Flooder (Symantec), Trojan.SMSBomb.26624 (Doctor Web), Troj/Mobs (Sophos), TrojanClicker:Win32/Mobs (RAV), TROJ_MOBS.A (Trend Micro), BDS/Bomber.Srv (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Clicker.Mobs (SOFTWIN), Trj/W32.Clicker.B (Panda), Win32/TrojanClicker.Mobs.A (Eset)
Храним важное в надежном месте