Trojan-PSW.Win32.Mefs.h
Материал из Total Malware Info
Trojan-PSW.Win32.Mefs.h Троянская программа, предназначенная для похищения конфиденциальной информации. Является приложением Windows (PE-EXE файл). Имеет размер 47 616 байт. Упакована при помощи Upack. Распакованный размер около ~ 200 КБ. Написана на Delphi.
Инсталляция
При запуске троянец копирует свой исполняемый файл в следующий каталог:
%WinDir%\Config\svhost32.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "fzg"="%WinDir%\Config\svhost32.exe"
Деструктивная активность
Пытается завершить процессы со следующими именами :
IPARMOR.EXE Ravmond.EXE RavMon.exe adam.exe EGHOST.EXE MAILMON.EXE KAVPFW.EXE KVMonXP.KXP KRegEx.exe KVXP.KXP
Закрывает окно с именем класса "RavMonClass". Пытается скрыть свой процесс из списка процессов с помощью вызова функции RegisterServiceProcess. Затем троянец извлекает из своего тела библиотеку DLL:
%System32%\fzgdll.dll (38 400 байт, детектируется Антивирусом Касперского, как Trojan-PSW.Win32.Mefs.h)
после этого троянец пытается загрузить ее и вызвать из нее функцию "wSta" передавая ей в качестве единственного аргумента строку:
http://www.*****.com/mail/getfzg.do?id=ad002/twt2/mail.asp?tomail=wdo@163.com&mailbody=
Библиотека в коде загрузки содержит ошибку, которая делает правильную работу троянца невозможной. При возникновении этой ошибки главное приложение трояна немедленно завершает свою работу.
Рекомендации по удалению
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
- Удалить параметр из ключа реестра :
%WinDir%\Config\svhost32.exe %System32%\fzgdll.dll
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "fzg"="%WinDir%\Config\svhost32.exe"
