Trojan-Spy.Win32.Stonari

Technické údaje

Tento trojský špionážní program získává důvěrné informace. Jedná se o soubor Windows PE EXE. Je napsáno v Borland Delphi. Má velikost 289 280 bajtů. Je zabalen pomocí programu AsPack. Rozbalený soubor má velikost přibližně 704 kB.

Instalace

Trojka vytvoří následující klíče registru systému:

 [HKCRSoftwareMicrosoftmicroware]
[HKLMSoftwarestonari] 

Aby bylo zajištěno, že Trojan je spuštěn automaticky, když je systém restartován, Trojan zaregistruje jeho spustitelný soubor v registru systému:

Trojka upravuje následující hodnotu klíče registru systému:

 [HKCRexefileshellopencommand]
"  % 1% * " 

Užitné zatížení

Trojan přijímá snímky obrazovky a shromažďuje informace o úhozu a událostech myší.

Trojský server uloží získaná data do následujícího souboru:

 % System% setpass.dat 

a odešle jej na e-mailovou adresu vzdáleného uživatele se zlými úmysly.

Červ používá následující server smtp k odeslání sklizených dat:

 smtp.163.net 

(Tento trojan obsahuje informace napsané v čínštině.)

Pokyny k odstranění

Pokud váš počítač nemá aktuální antivirový program nebo vůbec nemá antivirové řešení, postupujte podle níže uvedených pokynů a odstraňte škodlivý program:

1. Použijte Správce úloh k ukončení procesu trojského koně.
2. Odstraňte následující klíče registru:

    [HKCRSoftwareMicrosoftmicroware]
   [HKLMSoftwarestonari] 

3. Odstraňte odkazy na Trojan z následujících klíčů registru systému:
   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
   [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
4. Odstraňte původní soubor Trojana (umístění bude záviset na tom, jak program původně pronikl do poškozeného počítače).
5. Odstraňte soubor vytvořený trojanem:

    % System% setpass.dat 

6. Vrátit následující klíč registru:

    [HKCRexefileshellopencommand]
   "% 1% *" 

7. Aktualizujte antivirové databáze a proveďte úplné skenování počítače ( stáhněte zkušební verzi aplikace Kaspersky Anti-Virus).