Trojan-PSW.Win32.Hangame.cp

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Hangame.cp Троянская программа, предназначенная для кражи конфиденциальной информации. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 91 136 байт. Написана на Delphi.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
"Rhg" = "путь_и_имя_файла_троянца"

Деструктивная активность

Троянец собирает различную конфиденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов) и периодически отправляет ее на почту злоумышленнику. Также производит кражу логинов и паролей к игре http://www.hangame.com, специально отслеживая обращение к этому ресурсу через браузер "Internet Explorer". Полученную информацию троянец отсылает, вместе с IP-адресом зараженного компьютера, на электронный адрес "abcdef.abde@263.net" от имени "bill@microsoft.com". Собранную информацию троянец сохраняет в файл: 

c:\gamehg.txt

Загружает файл со следующего URL: 

http://www.i******e.net/test/hg/test.exe (на момент создания описания ссылка не работала)

сохраняет его в рабочий каталог троянца, после чего запускает на выполнение 

%Work%\e1.exe

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %Work%\e1.exe
c:\gamehg.txt
  4. Удалить значение ключа реестра:
    5. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
"Rhg" = "путь_и_имя_файла_троянца"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Hangame.cp»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.