Trojan.Click2.54169

Техническая информация

Вредоносные функции:

Запускает на исполнение:

%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://tr#.##arware.com/landing/jokes/intro_01.php

Изменения в файловой системе:

Создает следующие файлы:

%APPDATA%\Starware347\Toolbar\TBProductsOptions.xml
%APPDATA%\Starware347\SearchMatch\SearchMatchOptions.xml
%APPDATA%\Starware347\ErrorSearch\ErrorSearchOptions.xml
%APPDATA%\Starware347\ToolbarLogo\ToolbarLogoOptions.xml
%APPDATA%\Starware347\Pranks\PranksOptions.xml
%APPDATA%\Starware347\JokeSearch\JokeSearchOptions.xml
%APPDATA%\Starware347\ToolbarSearch\ToolbarSearchOptions.xml
%APPDATA%\Starware347\RelatedSearch\RelatedSearchOptions.xml
%APPDATA%\Starware347\Tem9.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\Tem8.tmp
%APPDATA%\Starware347\Tem7.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\TemA.tmp
%APPDATA%\Starware347\TravelSearch\TravelSearchOptions.xml
%APPDATA%\Starware347\BrowserSearch\BrowserSearch.xml
%APPDATA%\Starware347\TemB.tmp
%APPDATA%\Starware347\EntertainmentMarketingSP\EntertainmentMarketingSPOptions.xml
%APPDATA%\Starware347\Tem13.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\Tem12.tmp
%APPDATA%\Starware347\Movies\MoviesOptions.xml
%APPDATA%\Starware347\Layouts\ToolbarLayout.xml
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\intro_01[1].php
%APPDATA%\Starware347\Layouts\PreferencesLayout.xml
%APPDATA%\Starware347\SearchAssistPlus\SearchAssistPlusOptions.xml
%APPDATA%\Starware347\Tem11.tmp
%APPDATA%\Starware347\Games\GamesOptions.xml
%APPDATA%\Starware347\TemD.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\TemC.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\TemE.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\Tem10.tmp
%APPDATA%\Starware347\ScreensaversMarketingSitePager\ScreensaversMarketingSitePagerOptions.xml
%APPDATA%\Starware347\TemF.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\Tem6.tmp
%PROGRAM_FILES%\Starware347\Starware347Config.xml
%PROGRAM_FILES%\Starware347\bin\Starware347.dll
%ALLUSERSPROFILE%\Application Data\Starware347\contexts\travel.xml
%PROGRAM_FILES%\Starware347\icons\star_16.ico
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\finditxp.png
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\logo.bmp
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\logoxp.bmp
%ALLUSERSPROFILE%\Application Data\Starware347\contexts\related.xml
%TEMP%\nsr3.tmp\welcome.ini
%TEMP%\nsr3.tmp\UserInfo.dll
%TEMP%\nsr2.tmp
%TEMP%\nsr3.tmp\downloads.ini
%ALLUSERSPROFILE%\Application Data\Starware347\contexts\error.xml
%PROGRAM_FILES%\Starware347\bin\dlls\jokester.dll
%PROGRAM_FILES%\Starware347\brand.bmp
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\findithotxp.png
%ALLUSERSPROFILE%\Application Data\Starware347\SimpleUpdate\SimpleUpdateConfig.xml
%PROGRAM_FILES%\Starware347\Starware347Uninstall.exe
%APPDATA%\Starware347\Manager\ManagerOptions.xml
%ALLUSERSPROFILE%\Application Data\Starware347\Tem4.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\SimpleUpdate\ProductMessagingConfig.xml
%ALLUSERSPROFILE%\Application Data\Starware347\SimpleUpdate\TimerManagerConfig.xml
%APPDATA%\Starware347\Tem5.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\pranks.bmp
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\highlightxp.png
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\FindItHot.bmp
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\FindIt.bmp
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\highlighthotxp.png
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\jokesearch.bmp
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\HighlightHot.bmp
%ALLUSERSPROFILE%\Application Data\Starware347\buttons\Highlight.bmp

Удаляет следующие файлы:

%APPDATA%\Starware347\TemD.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\TemE.tmp
%APPDATA%\Starware347\TemB.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\TemC.tmp
%APPDATA%\Starware347\TemF.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\Tem12.tmp
%APPDATA%\Starware347\Tem13.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\Tem10.tmp
%APPDATA%\Starware347\Tem11.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\TemA.tmp
%TEMP%\nsr3.tmp\welcome.ini
%ALLUSERSPROFILE%\Application Data\Starware347\Tem4.tmp
%TEMP%\nsr3.tmp\downloads.ini
%TEMP%\nsr3.tmp\UserInfo.dll
%APPDATA%\Starware347\Tem5.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\Tem8.tmp
%APPDATA%\Starware347\Tem9.tmp
%ALLUSERSPROFILE%\Application Data\Starware347\Tem6.tmp
%APPDATA%\Starware347\Tem7.tmp

Сетевая активность:

Подключается к:

'localhost':1040
'tr#.##arware.com':80
'as.##arware.com':80
'rs#.##arware.com':80

TCP:

Запросы HTTP GET:

tr#.##arware.com/landing/jokes/intro_01.php
rs#.##arware.com/tb_button/?sr#############################
as.##arware.com/dp/time?x=################################################################################################

UDP: