Trojan-Spy.Win32.Sincom.af

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.Sincom.af Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Программа является исполняемым Windows (PE EXE-файл). Имеет размер 14 848 байт. Упакована при помощи UPX. Распакованный размер около 45 КБ.

Инсталляция

При запуске троянец копирует свое тело в файл: 

%WinDir%\scan2.exe

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
"winrar" = "%windir%\scan2.exe"

Завершает работу следующих процессов: 

kvapfw.exe
kvfw.exe
DFVSNET.EXE
PasswordGuard.exe
EGhost.exe
Iparmor.exe
pfw.exe

Деструктивная активность

Ищет процесс игры "Legend Of Mir 3", читает из его области памяти настройки, логин и пароль пользователя. Полученную информацию троянец отправляет почту злоумышленнику при помощи скрипта: 

http://51ts*****.net/mail/mail.asp.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файл:
    4. %WinDir%\scan2.exe
  4. Удалить значения ключа реестра:
    5. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
"winrar" = "%windir%\scan2.exe"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.Sincom.af»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.