Trojan-Spy.Win32.KeyLogger.qh
Материал из Total Malware Info
Trojan-Spy.Win32.KeyLogger.qh Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 469969 байт. Написана на С++.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "system.exe":
%System%\system.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "win32app"="%System%\\system.exe"
Деструктивная активность
Троянец собирает клавиатурный ввод и заголовки окон, в которые осуществляется этот ввод. Собранные данные помещаются в файл "log<time>.html" в системный каталог Windows:
%System%\log<time>.html
Собранные данные отправляются на FTP-сервер злоумышленника:
ftp:\\Logger123.lo.funpic.de
Для отправления лога используется файл "update.bat", помещаемый троянцем в системный каталог Windows:
%System%\update.bat
Этот файл запускает сценарий "UpdateCheck.sys", расположенный в каталоге драйверов Windows:
%System%\drivers\UpdateCheck.sys
Затем отправленный лог удаляется файлом командного интерпретатора "CheckUpdates.bat", помещаемый троянцем в системный каталог Windows:
%System%\CheckUpdates.bat
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить все файлы, созданные троянцем.
- Удалить ключ системного реестра:
%System%\system.exe %System%\log<time>.html %System%\update.bat %System%\drivers\UpdateCheck.sys %System%\CheckUpdates.bat
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "win32app"="%System%\\system.exe"
