Trojan-Spy.Win32.VB.oq

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.VB.oq Программа-шпион, предназначенная для похищения конфиденциальной информации. Программа является приложением Windows (PE EXE-файл). Имеет размер 28 672 байта. Язык написания Visual Basic.

Инсталляция

Копирует свое тело в каталог Windows под именем "scsrss.exe": 

%WinDir%\scsrss.exe

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на этот исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"scsrss.exe"="%WinDir%\scsrss.exe"

Деструктивная активность

Троянец отслеживает содержимое буфера обмена. Полученные данные отправляются на сайт злоумышленника: 

http://www.mundisimo.gratishost.com

Данные передаются в виде параметров php-сценария: 

http://www.mundi**********shost.com/update.php?datos=%собранные_данные%&user=%имя_пользователя%

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файл, созданный троянцем:
    4. %WinDir%\scsrss.exe
  4. При помощи редактора реестра (как работать с реестром?) удалить ключ системного реестра:
    5. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"scsrss.exe"="%WinDir%\scsrss.exe"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.VB.oq»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.