Trojan-PSW.Win32.Lmir.rz
Материал из Total Malware Info
Trojan-PSW.Win32.Lmir.rz Троянская программа, относящаяся к семейству троянов, похищающих пароли пользователя. Является библиотекой Windows (PE-DLL файл). Имеет размер 16 896 байт. Упакован при помощи AsPack, распакованный размер ~20 кб.
Инсталляция
Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] SerchWeb=”Rundll32 Help3721.dll,Rundll32”
Деструктивная активность
Троянская программа ищет в системе окно с заголовком:
“«???I»§¶E”
и похищает текст с размещенного на нем компонента “TComboBox” Ищет в системе окно с именем класса “TfrmMain” и заголовком “legend of mir2”. Если окно найдено, троян проверяет наличие на нем двух компонентов класса “TEdit” и если такие присутствуют – устанавливает для них перехватчик системных сообщений, с помощью которого отслеживает вводимые данные.
Ищет в системе окно с заголовоком “Ei·YNeO¤”, в котором ищет компонент класса “TMaskEdit” и получает текст введенный в нем. Собранные данные троян сохраняет в файл отчета
c:\syslog.prv
и периодически загружает на один из сайтов:
sqsg3.51.net cymoney.51.net
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить троянский процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] SerchWeb=”Rundll32 Help3721.dll,Rundll32”
