Trojan-Spy.Win32.WebCheck

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.WebCheck Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 13 894 байта. Защищена с помощью Yoda's cryptor. Распакованный размер - около 11 КБ. Написана на C++.

Деструктивная активность

При запуске троянец регистрирует класс окна с именем "Super Stealth Key Capturer" и создает на основе этого класса скрытое окно с заголовком "Super Stealth Key Capturer". Далее в каталоге с троянской программой создается файл настроек реестра Windows с именем KEY.ReG следующего содержания: 

REGEDIT4
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WebCheck" = "C:\Windows\loadwc.exe"

После импорта в реестр настроек из этого файла будет создан ключ автозапуска файла с именем loadwc.exe, расположенного в каталоге C:\Windows. Для импорта настроек этот файл скрыто запускается с использованием следующей командной строки: 

regedit /s KEY.ReG

Далее в каталоге с троянцем происходит создание и запуск пакетного файла командного интерпретатора с именем KEY.BaT следующего содержания: 

@echo off
del KEY.ReG
copy /Y /B  %TroyanPathName%  C:\Windows\loadwc.exe
del %0

В нем происходит удаление файла KEY.ReG, копирование оригинального файла троянца в каталог C:\Windows под именем loadwc.exe: 

C:\Windows\loadwc.exe

а также удаление самого пакетного файла. После чего происходит проверка наличия файла sskcdll.dll в системном каталоге Windows: 

%System%\sskcdll.dll (6 144 байта, детектируется Антивирусом Касперского, как Trojan-Spy.Win32.WebCheck)

Если такой файл не существует, то происходит его создание из ресурсов троянца. Затем троянцем осуществляется попытка скрытия своего процесса из списка системных процессов с помощью вызова функции "RegisterServiceProcess" (успешна только для Windows семейства 9х). После этого производится попытка загрузки библиотеки "sskcdll.dll". Если библиотека не была загружена, то троянец завершает свою работу. Завершение работы вредоносной программы также происходит и в случае невозможности получения адресов, экспортируемых библиотекой функций. Далее устанавливаются обработчики, перехватывающие события от клавиатуры и оконные сообщения. Работа троянца продолжается до получения окном троянца сообщения о завершении работы, после чего происходит удаление обработчиков и завершение работы троянца. В обработчиках, расположенных в библиотеке "sskcdll.dll" происходит протоколирование нажатых клавиш в файл с именем KEY.VxD, который расположен в корневом каталоге диска С: 

C:\KEY.VxD

При этом запись буквенно-цифровых клавиш происходит в виде символа, а для специальных клавиш записывается их название в угловых скобках (<>).

Рекомендации по удалению

  1. При помощи "Диспетчера задач" завершить троянский процесс, с именем:
    2. loadwc.exe.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. В редакторе реестра удалить параметр реестра:
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WebCheck"
  4. В каталоге C:\Windows удалить файл с именем loadwc.exe:
    5. C:\Windows\loadwc.exe
  5. В системном каталоге Windows удалить файл с именем sskcdll.dll:
    6. %System%\sskcdll.dll
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.WebCheck»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.