Trojan-Spy.Win32.Kbrdspy

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.Kbrdspy Троянская программа-шпион. Является приложением Windows (PE-EXE файл). Имеет размер 9 728 байт. Упакована при помощи UPX. Размер распакованного файла около 37 КБ. Язык написания C++.

Деструктивная активность

Троянец ищет в системе окно с именем "winsys98". Если такое окно существует, завершается (защита от повторного запуска). Если такого окна не существует, то троянец копирует свое тело в файл: 

%System%\sys98.exe

Затем создает файл динамической библиотеки: 

%System%\sys98.dll (10 240 байт, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Small.bp)

Из созданного файла "%System%\sys98.dll" троянец вызывает процедуру "CorpseProc" с помощью, которой собирает информацию о нажатии клавиш в системе. Для автоматического запуска при следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"(winsys98)" = "sys98.exe"

или используется запись в файле "win.ini": 

%WinDir%\win.ini

Деструктивные действия троянец производит через процедуры создаваемого окна с именем "winsys98".

Рекомендации по удалению

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    3. %System%\sys98.exe,
%System%\sys98.dll
  3. Удалить параметр из ключа автозапуска системного реестра:
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"(winsys98)" = "sys98.exe"
  4. Проверить файл "%WinDir%\win.ini" на наличие строки с именем файла "sys98.exe", если такая существует – удалить строку.
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.Kbrdspy»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.