Trojan-Spy.Win32.Small.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.Small.a Троянская программа, предназначенная для захвата вводимой пользователем с клавиатуры информации. Программа является приложением Windows (PE-EXE файл). Имеет размер 4 096 байт. Упакована при помощи UPX. Размер распакованного файла около 25 КБ Язык написания MASM32\TASM32.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microoft\Windows\CurrentVersion\Run]
"(ScanRegistry)"  = "<Путь к троянцу>"

Деструктивная активность

В своем рабочем каталоге троянец создает файл: 

%WORK%\<имя исходного файла троянца>.DLL

Созданный файл имеет текстовый тип, и содержит данные, полученные в результате деятельности троянца: окна программ и все нажатые клавиши. При подключении зараженного компьютера к Интернету, троянец отправляет всю похищенную информацию на FTP-сервер, адрес которого указан в теле троянца. (адрес не удалось определить так как он не был указан при генерации файла). Для файла троянца и файла, созданного для хранения похищеной информации устанавливаются атрибуты "Скрытый" и "Системный".

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файл
    4. %WORK%\<имя исходного файла троянца>.DLL
  4. Удалить значение ключа реестра
    5. [HKLM\Software\Microoft\Windows\CurrentVersion\Run]
"(ScanRegistry)"  = "<Путь к троянцу>"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.Small.a»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.