Trojan-PSW.Win32.Lmir.ko

Материал из Total Malware Info

Trojan-PSW.Win32.Lmir.ko Троянская программа, относящаяся к семейству троянов, похищающих пароли пользователя. Является библиотекой Windows (PE-DLL файл). Имеет размер 16 896 байт. Упакована при помощи AsPack, распакованный размер ~20 кб.

Инсталляция

Копирует свой исполняемый файл как:

%WinDir%\uc21.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ok=%WinDir%\uc21.exe

Деструктивная активность

Завершает процессы, имена которых содержат строки:

kvapfw.exe
kvfw.exe
DFVSNET.exe
PasswordGuard.exe
EGhost.exe
Iparmor.exe
pfw.exe
kvapfw
kvfw
DFVSNET
PasswordGuard
Eghost
Iparmor

Ищет в системе процесс имеющий в имени строку “mir”, если находит ищет в его рабочей папке файл mir.dat и похищает его содержимое. Так же ищет в подпапке “data” файлы с расширением *.itm и похищает их содержимое.

Ищет в системе окна с заголовком “legend of mir2” и похищает текст введенный в компонентах “TEdit“ находящихся в данном окне.

Собранные данные отсылаются на электронную почту злоумышленнику.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить троянский процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе реестра (как работать с реестром?):

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ok=%WinDir%\uc21.exe

4. Удалить файл:

%WinDir%\uc21.exe