Trojan-PSW.Win32.Small.ct

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Small.ct Троянская программа, похищающая пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 27718 байт. Упакован при помощи NsPack, распакованный размер 93 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%Documents and Settings%\All Users\Избранное\<rnd>.EXE

где <rnd> – случайная последовательность прописных букв. Извлекает из своего тела файл: 

%Documents and Settings%\All Users\Избранное\hfdf.hlp

Данный файл имеет размер 17358 байта и детектируется Антивирусом Касперского как Trojan-PSW.Win32.Small.ct Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
DF=%Documents and Settings%\All Users\Избранное\VAXQEIQI.exe

Деструктивная активность

Программа предназначена для похищения паролей на учетные записи игры Dungeon & Fighter. При запуске троян подгружает свой DLL-компонент hfdf.hlp к процесу iexplorer.exe, после чего следит за посещаемыми сайтами в интернете. Если пользователь находится на сайте данной игры, троян похищает текст, введенный в полях формы ID и PW. Собранные данные троян сохраняет в файле log.tmp, который находится в папке с исполняемым файлом трояна и периодически отправляет на сайт злоумышленников. В процессе работы создает ключ реестра: 

[HKLM\SOFTWARE\Microsoft\COME]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
DF=%Documents and Settings%\All Users\Избранное\VAXQEIQI.exe
  4. Удалить ключсистемного реестра
    5. [HKLM\SOFTWARE\Microsoft\COME]
  5. Удалить файлы:
    6. %Documents and Settings%\All Users\Избранное\<rnd>.EXE
%Documents and Settings%\All Users\Избранное\hfdf.hlp
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Small.ct»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.