Trojan-Dropper.Win32.GwBinder.30.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Dropper.Win32.GwBinder.30.a Троянская программа для просмотра паролей. Является приложением Windows (PE-EXE файл). Имеет размер 37 413 байт. Упакована при помощи ASPack. Распакованный размер – около 142 КБ. Написана на Delphi.

Инсталляция

При запуске троянец создает файлы: 

C:\die.hta
C:\Explorer.exe
%System%\HI.hta
%System%\password.hta

Деструктивная активность

В файле "%System%\HI.hta" содержится код сценария, который выводит диалоговое окно предупреждения после загрузки страницы, в котором напоминается, что с автором можно связаться по следующему адресу: 

shi_ji_shu_guang@163.com

В файле "%System%\password.hta" содержится код сценария, который проверяет, правильно ли пользователь набрал пароль, если пароль "password"и попытка № 3, то возвращаемся в списке хронологии браузера на одну страницу назад. После чего троянец генерирует HTML-страницу, куда записывает набранный пароль.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. C:\die.hta
C:\Explorer.exe
%System%\HI.hta
%System%\password.hta
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Dropper.Win32.GwBinder.30.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.