Trojan-PSW.Win32.Horse.b
Материал из Total Malware Info
Содержание |
Trojan-PSW.Win32.Horse.b
Троянская программа, относящаяся к семейству троянов, похищающих пароли пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 81 920 байт. Язык написания С++.
Инсталляция
Троянец копирует свое тело в системный каталог Windows под именем "Kernell32.exe":
%System%\Kernell32.exe
Копирует свою библиотеку в системный каталог Windows под именем "Kern32.dll":
%System%\Kern32.dll
Для автоматического запуска при следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Kernel32="%System%\Kernell32.exe"
Деструктивная активность
Троянская программа ищет окна с заголовками:
"Установка связи" "Tерминал (после подключения)" "Connect To" "Post-Dial Terminal Screen"
В случае обнаружения окон собирает вводимые пользователем пароли. Создает ключи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion] "Times"="%current_time%" "User32"="27538"
Собирает информацию о пользователях операционной системы, а так же название организации, на которую зарегистрирована система. Получает настройки подключения к интернет из файла "edialer.ini". Похищенная информация отправляется на почтовый адрес злоумышленника:
horse@mail.ru
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), если троянец не удалит его сам.
- Удалить файлы:
- Удалить ключи системного реестра (как работать с реестром?):
%System%\Kernell32.exe %System%\Kern32.dll
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Kernel32"="%System%\Kernell32.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion] "Times"="%current_time%" "User32"="27538"
