Trojan-Spy.Win32.Sinkin
Материал из Total Malware Info
Trojan-Spy.Win32.Sinkin Программа-шпион, предназначенная для похищения конфиденциальной информации. Программа является приложением Windows (PE EXE-файл). Имеет размер 24 579 байт. Язык написания Visual Basic.
Инсталляция
После запуска троянец копирует свое тело в корневой каталог диска "С:" под именем "av.exe":
c:\av.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на этот исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Antivirus"="c:\av.exe"
Деструктивная активность
Троянец меняет стартовую страницу на свою заменой соответствующего ключа реестра:
[HKLM\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.realphx.com"
Троянская программа предназначена для похищения паролей от "AOL Instant Messenger". Получает данные о расположении баз системы "AIM" из ключа реестра:
[HKCU\Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Misc] "BaseDataPath"
Кроме того, получает данные из ключа:
[HKCU\Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Login] "Screen Name"
Создает файл "info.htm" в папках, находящихся в указанном ключе реестра. В файл помещает HTML-код со ссылкой на сайт:
http://www.realphx.com
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл, созданный троянцем:
- При помощи редактора реестра (как работать с реестром?) удалить ключ системного реестра:
- Восстановить желаемую стартовую страницу.
- Сменить пароли, которые могли быть похищены.
c:\av.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Antivirus"="c:\av.exe"
