Trojan-PSW.Win32.Deat

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Deat Троянская программа, ворующая пароли. Является приложением Windows (PE-EXE файл). Имеет размер 14 848 байт. Упакована при помощи PECompact. Распакованный размер - около 49 KB. Написана на Delphi.

Деструктивная активность

Троянец регистрирует свой процесс как служебный с помощью функции "RegisterServiceProcess". Устанавливает приоритет процесса равным "IDLE_PRIORITY_CLASS", который будет получать управление, когда система будет переходить в режим ожидания. Далее ищет в системе окно с именем класса "SystemTray_Main" и закрывает его. Затем копирует свое тело в каталог Windows под именем SYSTRAY.exe: 

%WinDir%\SYSTRAY.exe

или под именем, указанным в командной строке при запуске троянца. После чего загружает функцию из библиотеки mpr.dll под именем "WNetEnumCachedPasswords", чтобы получить кэшированные пароли для Интернета. Далее отправляет сообщения на адрес ps22@chat.ru, для чего связывается с сервером: 

smtp.chat.ru

В почтовом сообщении от ExtraDeatr2 содержится:

  • пароль для удаленного соединения (Subject: TotalIDs);
  • имя пользователя, который работает в данный момент (Logged user:).

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файл:
    4. %WinDir%\SYSTRAY.exe
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Deat»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.