Trojan-Spy.Win32.Luzia.ad

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.Luzia.ad Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 164 864 байт. Упакована при помощью PECompact. Распакованный размер около 680 КБ. Написана на C++.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системную папку Windows: 

%System%\winmgmt32.exe

Для автоматического запуска при следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winmgmt32.exe"="%System%\winmgmt32.exe"

Деструктивная активность

Троянец завершает работу следующих процессов: 

msn_explorer.exe
terraxp.exe
dxdiag32.exe
bluetooth.exe
dxdiags.exe
dxdrv.exe
directsnd.exe
wupdmgr32.exe
winplay.exe
accwiz32.exe
msnscr.exe
ashserven.exe
avgshserven.exe
svghosts.exe
ahui32.exe
system32.exe
winlogon32.exe
ahui32.exe
cmd32.exe
wscntfy.exe
spolsv.exe
spolsv.scr
iexplorer.exe
iexplorer.com
winmgmt.exe

Следит за клавиатурным вводом пользователя в окнах, список заголовков которых хранится внутри тела троянца в зашифрованном виде. Отчеты, содержащие последовательности нажимаемых пользователем клавиш сохраняет в папку: 

%System%\winmgmt32

С именами вида: dmY-HMS, где dmY – дата создания файла отчета, HMS – время создания файла отчета.

Так же троянец периодически делает скриншоты окон (с расширением .jpg), находящихся под курсором мыши и сохраняет их в папку: 

%System%\winmgmt32

Далее загружает все файлы, находящиеся в папке "%SYSTEM%\winmgmt32" на FTP сервер: 

boneges66.serveftp.com

Имя учетной записи на FTP сервере : neo Пароль к учетной записи: capetas-23

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файл:
    4. %System%\winmgmt32.exe
  4. Удалить папку и все ее содержимое:
    5. %System%\winmgmt32
  5. Удалить параметр из ключа реестра:
    6. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winmgmt32.exe"="%System%\winmgmt32.exe"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.Luzia.ad»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.