Trojan-PSW.Win32.Gip.113.b
Материал из Total Malware Info
Trojan-PSW.Win32.Gip.113.b Троянская программа, относящаяся к семейству троянов, похищающих пароли пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 22 016 байт. Упакована при помощи AsPack. Размер распакованного файла около 39 КБ. Язык написания С++.
Инсталляция
Копирует свое тело под заданным при генерации именем в каталог Windows. Добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Welcome"="путь_к_троянцу" [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Sevice"="путь_к_троянцу" (именно Sevice) [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "config"="путь_к_троянцу"
Название параметра может меняться.
Деструктивная активность
Для введения пользователя в заблуждение исполняемый файл троянца имеет иконку стандартного DOC-файла. Создает ряд ключей реестра:
[HKCU\Software\Microsoft\Windows] "Pin" "File1" "File2" "File3" "Count" "Date" "LastError" "ver"
Меняет ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network] "DisablePwdCaching"="0"
Что включает кэширование паролей в браузере. Затем собирает скэшированые пароли. Кроме того, собирает список контактов системы ICQ, похищает пароли и номера, используемые в зараженной системе. Собирает сведения о системе. Такие как имя компьютера, имя текущего пользователя, используемая локаль, тип процессора, количество процессоров, количество памяти, количество свободной памяти, размер диска, количество свободного места на диске. Похищает данные о Dial-Up соединениях – номера дозвонов и пароли. Формирует сообщение со всеми этими данными и отправляет злоумышленнику, используя WinSocket.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл троянца из каталога Windows.
- Удалить ключи системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Welcome" [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Sevice" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "config" [HKCU\Software\Microsoft\Windows] "Pin" "File1" "File2" "File3" "Count" "Date" "LastError" "ver"
