Trojan-PSW.Win32.Hooker.e
Материал из Total Malware Info
Trojan-PSW.Win32.Hooker.e Троянская программа, похищающая пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26624 байт. Упакован при помощи UPX, распакованный размер 62 к.б.
Инсталляция
Копирует свой исполняемый файл как:
%System%\Taskbar.exe
Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] TaskBar=Taskbar.exe
Извлекает из своего тела библиотеку:
%System%\Keyb32.dll
Деструктивная активность
Следит за клавиатурным вводом пользователя в различных приложениях. Похищает пароли дозвона к интернет провайдерам. Похищает пароли сохраненные в файле
%WinDir%\Edialer.ini
Похишает пароли к FTP серверам из Total Commander, которые хранятся в файле:
wcx_ftp.ini
Собирает следующую информацию о системе пользователя:
- Версию установленной ОС
- Внешний IP адрес компьютера
- Имя пользователя
- Тип процессора
Собранная информация отправляется на электронную почту злоумышленнику.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
- Удалить файлы:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] TaskBar=Taskbar.exe
%System%\Taskbar.exe %System%\Keyb32.dll
