Trojan-Spy.Win32.GWGhost.a

Материал из Total Malware Info

Trojan-Spy.Win32.GWGhost.a Троянская программа предназначенная для отправки на электронный адрес злоумышленника информации, вводимой пользователем с клавиатуры, содержимого буфера обмена. Программа является приложением Windows (PE EXE-файл). Имеет Размер 36 096 байт. Упакована с помощью ASPack. Размер распакованного около 77 КБ. Язык написания Delphi.

Инсталляция

При запуске троянец извлекает из своего тела библиотеку DLL и сохраняет ее в свою рабочую папку:

%Work%\GST00.TMP (122 880 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.GWGhost.a)

Копируется в системный каталог файл:

%System%\SCANREGW.EXE

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\software\Microsoft\Windows\CurrentVersion\Run]
"(ScanRegistry)" = "%system%\SCANREGW.EXE /autorun "

Перемещает библиотеку"%Work%\GST00.TMP" из своего рабочего каталога в системный каталог:

%System%\GST00.TMP

Деструктивная активность

Загружает "%System%\GST00.TMP" как DLL и регистрирует ее для перехвата сообщений от клавиатуры. Перехваченные сообщения от клавиатуры помещаются в буфер длиной 65 536 байт. При подключении зараженного компьютера к Интернету, троянец отправляет всю похищенную информацию на электронный адрес злоумышленника.

Рекомендации по удалению

1. Загрузиться в безопасный режим.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

%System%\SCANREGW.EXE
%Work%\GST00.TMP

4. Удалить значение ключа реестра:

[HKLM\software\Microsoft\Windows\CurrentVersion\Run]
"(ScanRegistry)" = "%system%\SCANREGW.EXE /autorun"