Trojan-PSW.Win32.Horse.a
Материал из Total Malware Info
Содержание |
Trojan-PSW.Win32.Horse.a
Троянская программа, относящаяся к семейству троянов, похищающих пароли пользователя. Программа является приложением Windows (PE EXE-файл). Размер упакованного файла 87 405 байт. Упакована при помощи ZIP. Размер распакованного файла около ~ 64 КБ. Язык написания С++.
Инсталляция
Троянец копирует свое тело в системный каталог Windows под именем "Kernell32.exe":
%System%\Kernell32.exe
Копирует свою библиотеку в системный каталог Windows под именем "Kern32.dll":
%System%\Kern.dll
Для автоматического запуска при следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Kernel32="%System%\Kernell.exe"
Деструктивная активность
Троянская программа представляет собой модифицированный самораспаковывающийся ZIP-архив. В архиве содержатся файлы: "Setup.exe" (65 536 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.Horse.a) и "Setup.dll" (54 272 байта, детектируется Антивирусом Касперского как Trojan-PSW.Win32.Horse.a). Затем распаковщик запускает извлеченный файл "Setup.exe". Запущенный файл ищет окна с заголовками:
"Установка связи" "Tерминал (после подключения)" "Connect To" "Post-Dial Terminal Screen"
В случае обнаружения окон собирает вводимые пользователем пароли. Похищенная информация отправляется на почтовый адрес злоумышленника:
horse@mail.ru
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), если троянец не удалит его сам.
- Удалить файлы:
%WorkDir%\Setup.exe %WorkDir%\Setup.dll %System%\Kernell32.exe %System%\Kern.dll
