Trojan-Spy.Win32.VB.av

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.VB.av Троянская программа - клавиатурный шпион. Программа является приложением Windows (PE EXE-файл). Имеет размер 176 128 байт. Язык написания Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в каталог Windows под оригинальным именем: 

%WinDir%\%orig_name%.exe

Деструктивная активность

После запуска троянец извлекает из своего тела файл "reml323.dll": 

%WinDir%\reml323.dll

В этом файле сохраняет настройки, которые вредоносная программа будет использовать для отправки отчета злоумышленнику, а так же лог нажития клавиш клавиатуры. Программа замаскирована под консольный почтовый флудер. Во время работы позволяет сформировать письмо, но отправляет не его, а лог нажатия клавиш клавиатуры на зараженной машине, а так же адреса, используемые для создания почтового флуда. После этого выдает сообщение о несуществующей ошибке. Собранные данные отправляются на адреса злоумышленника: 

UrVictim@Yahoo.com
tellmethetrueth@Yahoo.com

Использует SMTP-сервер: 

mx4.mail.yahoo.com

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца, если он не удалится сам (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы, созданные троянцем:
    3. %WinDir%\%orig_name%.exe
%WinDir%\reml323.dll
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.VB.av»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.