Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Trojan-PSW.Win32.Widget

Třída Trojan-PSW
Platfoma Win32
Popis

Technické údaje

Jedná se o heslo a WebMoney informace krádež Trojan program s abilitiy stáhnout jeho "upgrady" z internetových stránek a nahradit se svými novými verzemi. Trojan byl implementován do balíčků freewarových her a byl distribuován tímto způsobem v květnu 2001.

Vzhledem k tomu, že se trojský kůň může sám "upgradovat" z internetových stránek, níže uvedené informace nemusí být zcela správné pro dosud neznámé verze trojských koní.

Instalace

Když je spuštěn Trojan, zkopíruje se do adresáře systému Windows s názvem TASKSVR32.EXE a zaregistruje se v klíči automatického spuštění registru:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe

Pokud se při vytváření tohoto klíče vyskytne chyba (aktuální uživatel nemá přístup k klávesám HKLM), Trojan se sám zaregistruje v klíči HKCU:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe

Trojan pak vytvoří soubor DLL pomocníka COOLX.DLL v adresáři systému Windows. Původní trojský soubor (ze kterého byl spuštěn Trojan) je poté smazán.

Trojan také vytváří další klíče registru a zapisuje hexadecimální hodnoty tam:

HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =% šestnáctka%; tyto čtyři tlačítka jsou
DRMInstallPlace =% šestnáctka%; systémový čas při trojan
DRMUpdateFocus =% šestnáctka%; nainstaluje se sama
DRMUpdatePlace =% šestnáctka%; do systému
DRMVersion =% šestnáctka%; trojan verze

Trojan pak zůstává v paměti systému Windows jako skrytý servisní proces a je aktivní až do restartování systému Windows.

Ukradené informace

Trojan pošle svého autora následující informace z infikovaného počítače:

Název počítače
Uživatelské jméno
RegisteredOwner a RegisteredOrganization řetězce
Instalované informace o hardwaru
Síťové zdroje s režimem přístupu
IP adresa
Informace RAS, hesla uložená v mezipaměti
další přihlašovací údaje k Internetu a hesla
Informace o uživateli ICQ
WebMoney informační a datové soubory

Aktualizace

V závislosti na několika podmínkách získává Trojan soubory z internetových stránek, stáhne je do dočasného adresáře systému Windows s názvem RTTY32.EXE a spustí jej. Tyto soubory jsou dalšími trojskými verzemi a mohou mít vylepšené funkce.

Známé verze trojan stahovat soubory z následujících stránek:

sfavp.chat.ru/update
widpage.chat.ru/update

jiný

Některé známé verze také:

  • přepsat soubor C: AUTOEXEC.BAT s programem "formátu C:" Trojan.
  • spusťte aplikaci Internet Explorer a otevřete jednu z následujících stránek:

    http://vrs.ru
    http://ebooks.vov.ru
    http://3w.ozonebooks.com

  • spustit DoS útok na http://www.ibm.com

  • Odkaz na originál
    Zjistěte statistiky hrozeb šířících se ve vašem regionu