Trojan-PSW.Win32.Heak
Материал из Total Malware Info
Trojan-PSW.Win32.Heak Троянская программа, предназначенная для похищения паролей пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 12 800 байт.
Инсталляция
Копирует свой исполняемый файл как:
%WinDir%\setwinf.exe
Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] System File=%WinDir%\setwinf.exe
Деструктивная активность
Пишет протокол своей работы в файл:
%WinDir%\body.log
Создает параметры в ключе реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion] CmdID=”” SystemNumber=”NEW_81316526_”
Похищает параметры установленных в системе модемных соединений: имя пользователя, номер дозвона и пароль(с использованием недокументированной функции WNetEnumCachedPasswords). Собранные данные сохраняет в файл:
%WinDir%\body.log
Периодически загружает этот файл на ftp сервер с адресом:
ftp.bidland.com
используя учетную запись “warisoft1” и пароль “mQmWmE”.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить троянский процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] System File=%WinDir%\setwinf.exe
- Удалить файлы:
%WinDir%\body.log %WinDir%\setwinf.exe
