Trojan-PSW.Win32.Gip.108

Материал из Total Malware Info

Trojan-PSW.Win32.Gip.108 Троянская программа, относящаяся к семейству троянов, похищающих пароли пользователя. Имеет развитый графический интерфейс. Программа является приложением Windows (PE EXE-файл). Имеет размер 43 520 байт. Написана на С++.

Инсталляция

Копирует свое тело под заданным при генерации именем в каталог Windows.

Деструктивная активность

Троянец собирает данные о исполняемых файлах, находящихся в рабочем каталоге троянца и его подкаталогах (если троянец успел скопировать свое тело в каталог Windows, то будет собрана информация обо всех системный исполняемых файлах). Так же получает данные о текущей версии системной библиотеки kernel32.dll. Все собранные данные помещаются в XML-файл, который распологается во временном каталоге текущего пользователя. Среди собираемых данных можно выделить такие:

• MATCHING_FILE NAME – текущее имя исполнимого файла;
• ORIGINAL_FILENAME – оригинальное имя файла (сохраняется неизменным в случае переименования);
• INTERNAL_NAME – внутреннее имя файла;
• SIZE – размер;
• CHECKSUM – контрольная сумма;
• FILE_VERSION – версия файла;
• PRODUCT_VERSION – версия продукта, к которому относится файл;
• FILE_DESCRIPTION – описание файла;
• COMPANY_NAME – название компании, создавшей файл;
• MODULE_TYPE – тип исполнимого модуля (как правило Win32);
• LINKER_VERSION – версия линкера;
• LINK_DATE – дата линкования;
• VER_LANGUAGE – язык текущей версии файла.

В последствии данная информация будет отправлена на электронный адрес злоумышленника, который указывается при генерации. По завершении сбора информации троянец может удалить себя из системы (это тоже зависит от настроек). Если запустить троянца с параметром “-a”, то можно переконфигурировать его с другими настройками. Изменить можно следующие параметры:

• Почта, на которую будет отсылаться собранная информация;
• Имя, под которым троянец будет копировать свое тело;
• SMTP-почтовый сервер, с помощью которого будет отправлено письмо, с собранными данными;
• Данные, которые будут помещены в поле “от кого”, отправляемого письма;
• Флаг удалять/не удалять свое тело после сбора данных.

Если запустить троянца с параметром “-d”, а затем указать имя троянца и имя любого исполнимого файла, то указанный исполнимый файл будет заражен троянцем.

Рекомендации по удалению

1. Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файл троянца из каталога Windows, если троянец не удалит его сам.