Trojan-PSW.Win32.OnLineGames.ibi

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.OnLineGames.ibi Троянская программа, похищающая пароли пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 15360 байт. Упакована при помощи WinUpack. Распакованный размер — около 88 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело во временный каталог текущего пользователя под именем "LYLOADER.EXE": 

%Temp%\LYLOADER.EXE

Затем запускает свою копию, а оригинальный файл удаляет.

Деструктивная активность

Троянец извлекает из своего тела во временный каталог текущего пользователя две динамические библиотеки: 

%Temp%\Lymangr.dll

Данная библиотека имеет 3528 байт и детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.ibg 

%Temp%\MSDEG32.DLL

Данная библиотека имеет 5992 байта и детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.ibf Затем троянец копирует свое тело, а так же эти библиотеки в системный каталог Windows под такими же именами: 

%System%\LYLOADER.EXE
%System%\Lymangr.dll
%System%\MSDEG32.DLL

После этого троянец добавляет в системный реестр ряд ключей: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"MSDEG32"="LYLoader.exe"
"MSDWG32"="LYLoadbr.exe"
"MSDCG32    "="LYLeador.exe"
"MSDOG32"="LYLoador.exe"
"MSDSG32"="LYLoadar.exe"
"MSDMG32"="LYLoadmr.exe"
"MSDHG32"="LYLoadhr.exe"
"MSDQG32"="LYLoadqr.exe"

Далее троянец сканирует запущенные в системе процессы и внедряет извлеченные библиотеки в процессы "services.exe" "explorer.exe".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы, созданные троянцем:
    3. %Temp%\LYLOADER.EXE
%Temp%\Lymangr.dll
%Temp%\MSDEG32.DLL
%System%\LYLOADER.EXE
%System%\Lymangr.dll
%System%\MSDEG32.DLL
  3. Удалить ключи системного реестра:
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"MSDEG32"="LYLoader.exe"
"MSDWG32"="LYLoadbr.exe"
"MSDCG32    "="LYLeador.exe"
"MSDOG32"="LYLoador.exe"
"MSDSG32"="LYLoadar.exe"
"MSDMG32"="LYLoadmr.exe"
"MSDHG32"="LYLoadhr.exe"
"MSDQG32"="LYLoadqr.exe"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.OnLineGames.ibi»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.