Trojan-Spy.Win32.KeyLogger.qi

Материал из Total Malware Info

Trojan-Spy.Win32.KeyLogger.qi Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 14609 байт. Упакована при помощи UPX. Распакованный размер — около 36 КБ. Написана на Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "SVHOST.EXE":

%System%\SVHOST.EXE

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Server.exe"="%System%\\SVHOST.EXE"

Деструктивная активность

Троянец собирает клавиатурный ввод. Собранные данные помещаются в файл "temp.txt" в системный каталог Windows:

%System%\temp.txt

Собранные данные отправляются на электронный адрес злоумышленника:

arashjeyjey@yahoo.com

Для отправления лога используется файл "sendhmtl.htm", помещаемый троянцем в корневой каталог диска "С:":

C:\sendhmtl.htm

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить троянский процесс "SVHOST.EXE".
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить все файлы, созданные троянцем.

%System%\SVHOST.EXE
%System%\temp.txt
C:\sendhmtl.htm

4. Удалить ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Server.exe"="%System%\\SVHOST.EXE"