Trojan-Spy.Win32.Luhn.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.Luhn.a Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 40 960 байт. Не упакована. Язык написания Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в системный каталог: 

%System%\ist2.exe

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"(Version Information)"="%System%\ist2.exe"

Деструктивная активность

После инсталляции троянец открывает файл "windowskj.log" на дописывание (или создает файл, если его не существует): 

%System%\windowskj.log

В этот файл записываются следующие строки, протоколирующие время начала сессии сбора информации о нажатых клавишах: 

=========================================
Logging Has Started At: %Дата% %Время%
=========================================

Дальше по событиям от таймера каждые 20 миллисекунд происходит получение состояния клавиатуры, и все нажатые клавиши записывается в файл-лог в виде: 

<%спец-клавиша%> или %клавиша%

для функциональных клавиш и алфавитно-цифровых клавиш соответственно.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс:
    2. ist2.exe
  2. Удалить файлы:
    3. %System%\ist2.exe
%System%\windowskj.log
  3. Удалить ключ реестра:
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Version Information]
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.Luhn.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.