Trojan-Spy.Win32.KeyLogger.qo
Материал из Total Malware Info
Trojan-Spy.Win32.KeyLogger.qo Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 24041 байт. Упакована при помощи WinUpack. Распакованный размер — около 135 КБ. Написана на Delphi.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "svrchost.exe":
%System%\svrchost.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "System service"="%System%\svrchost.exe"
Деструктивная активность
Троянец создает каталог:
%Documents and Settings%\All Users\Application Data\WINSYS\%CurrentUser%
Затем начинает собирать клавиатурный ввод, содержимое буфера обмена и и данные о сетевой активности в соответствующие файлы:
clp.dat key.dat net.dat
По достижении файлами указанного при генерации размера отправляет на указанный при генерации адрес злоумышленника.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить троянский процесс "svrchost.exe".
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить копию троянца:
- Удалить собранные логи:
- Удалить ключ системного реестра:
%System%\svrchost.exe
%Documents and Settings%\All Users\Application Data\WINSYS\%CurrentUser%\clp.dat %Documents and Settings%\All Users\Application Data\WINSYS\%CurrentUser%\key.dat %Documents and Settings%\All Users\Application Data\WINSYS\%CurrentUser%\net.dat
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "System service"="%System%\svrchost.exe"
