Trojan-Spy.Win32.GWGhost.j

Материал из Total Malware Info

Trojan-Spy.Win32.GWGhost.j Троянская программа предназначенная для отправки на электронный адрес злоумышленника информации, вводимой пользователем с клавиатуры, содержимого буфера обмена. Программа является приложением Windows (PE EXE-файл). Имеет размер 39 106 байт. Упакована с помощью ASPack. Размер распакованного файла около 137 КБ. Язык написания Delphi.

Инсталляция

При запуске троянец извлекает из своего тела библиотеку DLL и сохраняет как:

%System%\DXInput.dll (12 016 байт, детектируется Антивирусом Касперского как Trojan-Spy.Win32.GWGhost.j)

Копирует свое тело в системный каталог:

%System%\SCANREGW.EXE

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\software\Microsoft\Windows\CurrentVersion\Run]
"(SCANREGW)"= "%system%\SCANREGW.EXE/autorun"

Деструктивная активность

Загружает "%System%\DXInput.dll" как DLL и регистрирует ее для перехвата сообщений от клавиатуры. Перехваченные сообщения от клавиатуры помещаются в буфер длиной 65 536 байт. При подключении зараженного компьютера к Интернету, троянец отправляет всю похищенную информацию на электронный адрес злоумышленника:

wanghao520520@sina100.com

И также сохраняет похищенную информацию в файлы:

c:\setupold.txt
c:\recycled\index.dat
c:\recycler\index.dat

Рекомендации по удалению

1. Загрузиться в безопасный режим
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

%System%\SCANREGW.EXE
%System%\DXInput.dll
c:\recycled\index.dat
c:\recycler\index.dat
c:\setupold.txt

4. Удалить значение ключа реестра:

[HKLM\software\Microsoft\Windows\CurrentVersion\Run]
"(ScanRegistry)" ="%system%\SCANREGW.EXE /autorun"