Trojan-Spy.Win32.Wsnd

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Spy.Win32.Wsnd Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 15 360 байт. Упакована при помощи UPX. Распакованный размер около 82 КБ. Написана на Visual Basic.

Инсталляция

При запуске троянец сохраняет свое тело в корневом каталоге диска C: 

C:\win32dll.exe

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wSnd"="C:\win32dll.exe"

в случае наличия раздела реестра (HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices) создает ключ: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"wSnd"="C:\win32dll.exe"

Дальше устанавливает для сохраненного файла файловые атрибуты "только чтение", "скрытый" и "системный".

Деструктивная активность

После установки троянской программы происходит скрытие ее окна, получение пути к командному интерпретатору (из переменной окружения %Comspec%), и удаление файла "ksystem.dat" в корневом каталоге диска С: 

%Comspec% /c del c:\ksystem.dat

Дальше происходит открытие на полный доступ файлов "kboard.dat" и "ksystem.dat" в корневом каталоге диска С: 

C:\kboard.dat
C:\ksystem.dat

Троянец, с интервалом в 1 миллисекунду, производит опрос клавиатуры и протоколирование нажатых алфавитно-цифровых клавиш в файл "kboard.dat" При этом код клавиши преобразуется в символ из латинской раскладки (например, при русской раскладке клавиатуры вместо введенной строки “йцукен” в файл-лог будет записано “qwerty”). Формат лог-файла следующий: 

Impossible KeyLog  (Date: %Дата%  Start Time: %ВрНачала% End Time: %ВрПослЗаписи%)
--------------------------------------------------
%ВведенныеСимволы%

При новом запуске троянца (после перезагрузки Windows) происходит создание аналогичной записи в конце файла "kboard.dat" и точно так же происходит протоколирование введенных с клавиатуры символов.

Рекомендации по удалению

  1. Выгрузить из списка процессов файл оригинальный файл троянской программы и (или) процесс win32dll.exe.
  2. Удалить файл win32dll.exe из корневого каталога диска C: и исходный файл троянской программы.
  3. Удалить ключи реестра:
    4. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wSnd
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\wSnd
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Spy.Win32.Wsnd»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.