Trojan-Spy.Win32.Coiboa.g

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.Coiboa.g Троянская программа-шпион. Является приложением Windows (PE-EXE файл). Имеет размер 77 824 байт. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог: 

%System%\REGNXII.EXE

Для автоматического запуска при следующем старте системы троянец добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ReGnXII"="%System%\REGNXII.EXE"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"ReGnXII"="%System%\REGNXII.EXE"

Деструктивная активность

Троянец следит за клавиатурным вводом в окнах, с которыми работает пользователь. Периодически делает скриншоты рабочего стола пользователя, когда тот работает с программой "Microsoft Internet Explore". При подключении зараженного компьютера к Интернету, троянец отправляет всю похищенную информацию на электронный адрес злоумышленника.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файл
    4. %System%\REGNXII.EXE
  4. Удалить параметры с ключей реестра:
    5. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ReGnXII"="%System%\REGNXII.EXE"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"ReGnXII"="%System%\REGNXII.EXE"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.Coiboa.g»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.