Trojan-PSW.Win32.Small.bc

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Small.bc Троянская программа, похищающая пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 36352 байт.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\Ir32_<rnd>.

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SystemMgr=%System%\Ir32_<rnd>.exe

где <rnd> - случайная буква.

Деструктивная активность

Данный троян предназначен для похищения паролей на учетные записи к различным онлайн играм. При запуске троян внедряет в системный процесс explorer.exe свой код, который выполняет следующие действия: Похищает данные из полей ввода на веб страницах в программе Internet Explorer, если пользователь находится на одной из нижеприведенных страниц: 

http://www.******m.tw/gamesite
https://billin******com.tw/
http://twbbs.net.tw
http://webmail.hinet.net
http://www.webmail.hinet.net
http://member.hinet.net
https://tw.gash.gamania.com
http://tw.gashcard.gamania.com
http://tw.gamania.com
http://tw.club.gamania.com
https://tw.event.gamania.com
https://tw.gas*******ia.com/gashindex.asp
https://gash.******a.com/openmainaccount
https://tw.goodlock.gamania.com
https://tw.gas*******ia.com/gash_depositpoint
http://www.gamebase.com.tw
http://club.pchome.com.tw
http://astro.yam.com
http://adm.blog.yam.com
http://auction.roodo.com
http://chat.yam.com
http://club.yam.com
http://friends.yam.com
http://game.yam.com
http://memb******.com/
http://photo.yam.com
http://mail.yam.com
http://qq.yam.com
http://webhd.yam.com
ftp:// h***s://secure.nctaiwan.com/login.aspx
https://event.l*******.com.tw/obaccount/changegamepwd.asp
https://tw.goodl*******ania.com/gamagoodlock.aspx
https://ids.h*****e.com/login.nhn
http://id.h******.com/login
http://my20052.jjcc88.com
http://my20052.jjcc88.c

Кроме этого перехватывает значения следующих параметров HTTP запросов с вышеприведенных сайтов: 

tbMainAccountID
tbMainAccountPassword
tbPersonalID
txtGash_ID
tbServiceAccountID
tbNewPassword
inAccount
inPassword

Так же троян содержит встроенный кейлоггер, при помощи которого следит за клавиатурным вводом пользователя в следующих процессах: 

explorer.exe
Iexplore.exe
lin.bin
OnLine3.dat
Ragexe.exe
Pkexe.exe
Ragexe.sp2
WoW.exe
so3d.exe
l2.exe
cg.exe
ypager.exe

Собранные данные троян временно сохраняет в файл: 

c:\0.txt

и отправляет на сайт злоумышленников sa20061.kele88.com в HTTP запросе.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SystemMgr=%System%\Ir32_<rnd>.exe
  4. Удалить файлы:
    5. %System%\Ir32_<rnd>.

где <rnd> - случайная буква.

Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Small.bc»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.