Trojan-Spy.Win32.VB.m
Материал из Total Malware Info
Trojan-Spy.Win32.VB.m Троянская программа - клавиатурный шпион. Программа является приложением Windows (PE EXE-файл). Имеет размер 36 864 байт. Язык написания Visual Basic.
Инсталляция
После запуска троянец копирует свое тело в каталог Windows под именем "SYSEDIT.EXE":
%WinDir%\SYSEDIT.EXE
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на этот исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "sysedit"="%WinDir%\SYSEDIT.EXE"
Деструктивная активность
Троянец отслеживает нажатия клавиатуры. Для сохранения и отправления данных злоумышленнику использует ключ системного реестра, отвечающий за стартовую страницу браузера Internet Explorer:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.******.com/test/test.php?page=%current_start_page%&text=%log%"
При открытии браузера жертва попадает на сайт злоумышленника и перенаправляется на свою обычную стартовую страницу, при этом в качестве параметра "text" на сайт злоумышленника передается собранные данные о нажатиях клавиатуры. После успешной передачи данных лог обнуляется.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл, созданный троянцем:
- При помощи редактора реестра (как работать с реестром?) удалить ключ системного реестра:
- Восстановить желаемую стартовую страницу.
%WinDir%\SYSEDIT.EXE
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.******.com/test/test.php?page=%current_start_page%&text=%log%"
