Trojan-PSW.Win32.Small.dl

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Small.dl Троянская программа, похищающая пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 31372 байт. Упакован неизвестным упаковщиком, распакованный размер 148 к.б.

Инсталляция

Копирует свой исполняемый файл со следующим именем: 

%WinDir%\9129837.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
ttool=%WinDir%\9129837.exe

Извлекает из своего файла Rootkit драйвер: 

%WinDir%\new_drv.sys

Данный файл имеет размер 5376 байта и детектируется Антивирусом Касперского как Rootkit.Win32.Agent.ef. После успешной инсталляции троян удаляет свой оригинальный файл.

Деструктивная активность

Данный троян имеет встроенный сетевой сниффер, с помощью которого производится фильтрация сетевого трафика. Анализируются исходящие пакеты протоколов POP3, IMAP, FTP, ICQ Oscar, среди них отбираются пакеты авторизации, содержащие Login, пароль или хеш пароля пользователя.

Так же анализируются исходящие пакеты HTTP протокола, из которых извлекаюся значения полей веб-форм, данные базовой авторизации и отправляемые файлы.

Троян так же использует встроенный кейлоггер для слежения за клавиатурным вводом пользователя.

Открывает SOCKS прокси сервер на компьютере пользователя на TCP порте со случайным номером.

Собранные данные а так же номер порта прокси сервера отправляются на адрес 81.95.151.43 в http запросах.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
ttool=%WinDir%\9129837.exe
  4. Удалить файлы:
    5. %WinDir%\9129837.exe
%WinDir%\new_drv.sys
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Small.dl»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.