Trojan-PSW.Win32.QQRob.jo

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.QQRob.jo Троянская программа, которая похищает конфиденциальную информацию с компьютера пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 90 274 байта. Написана на Delphi.

Инсталляция

При запуске троянец копирует свой исполняемый файл в папку: 

%Program Files%\Common Files\Microsoft Shared\MSInfo

с именем NTdhcp.dat или со случайным образом, сформированным именем из цифр и букв и расширением .dat. Так же копирует свой исполняемый файл в следующий каталог: 

%WinDir%\Help\wshmcepts.chm

или в: 

%WinDir%\Help\NTdhcp.hlp

Копирует свое тело в файл: 

%System%\verclsid.exe

если такой существует.

Деструктивная активность

Извлекает из своего тела библиотеку DLL в следующий каталог: 

%Program Files%\Common Files\Microsoft Shared\MSInfo

с именем NTdhcp.dll или со случайным образом сформированным именем из цифр и букв и расширением .dll Эта библиотека определяется антивирусом Касперского как Trojan-PSW.Win32.QQRob.jm. Создает ключ реестра: 

HKCR\CLSID\{7A967077-7077-A96B-77A9-07796077A96B}

Который содержит ссылку на извлеченную троянцем библиотеку. Создает параметр в ключе реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{7A967077-7077-A96B-77A9-07796077A96B}

с помощью, которого троянская библиотека будет автоматически запускаться при каждой загрузке Windows. После этого троянец загружает извлеченную библиотеку и вызывается из нее функцию JumpHookOn.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %WinDir%\Help\wshmcepts.chm
%WinDir%\Help\NTdhcp.hlp
  4. Удалить все файлы с расширением .dll и .dat из папки:
    5. %Program Files%\Common Files\Microsoft Shared\MSInfo
  5. Удалить ключ реестра:
    6. HKCR\CLSID\{7A967077-7077-A96B-77A9-07796077A96B}
  6. Удалить параметр ключа реестра:
    7. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{7A967077-7077-A96B-77A9-07796077A96B}
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.QQRob.jo»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.