Trojan-PSW.Win32.VB.ae

Материал из Total Malware Info

Содержание 1 Trojan-PSW.Win32.VB.ae 1.1 Инсталляция 1.2 Деструктивная активность 1.3 Рекомендации по удалению

Trojan-PSW.Win32.VB.ae

Троянская программа, похищающая пароли пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 45 569 байт. Язык написания Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "US.EXE":

%System%\US.EXE

После чего удаляет свой оригинальный файл. Для автоматического запуска при следующем старте системы троянец добавляет ссылку на этот исполняемый файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft US"="="%System%\US.EXE"

Деструктивная активность

Троянец собирает пароли, скэшированные браузером Internet Explorer. Кроме того, собирает информацию о зараженной машине. Похищенные данные отправляет на электронный адрес злоумышленника:

uol@uol.com.br

Для отправлки использует SMTP-сервер:

smtp.zipmail.com.br

В системах, под управлением Windows 98 добавляет в файл "AUTOEXEC.BAT" строки:

@ECHO OFF
@ECHO SORRY, YOU HAVE BEEN HACKED BY ULTIMATE SPY
DELTREE/Y C:\*.*

Выполнение этого кода приведет к удаления всего содержимого диска "C:"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), в случае если троянец сам не удалит его.
3. Удалить файлы, созданные троянцем:

%System%\US.EXE

4. При помощи редактора реестра (как работать с реестром?) удалить ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft US"="="%System%\US.EXE"

5. Сменить пароли, которые могли быть похищены.