Hlavní třída: TrojWare
Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou uživateli povoleny: odstraňují, blokují, upravují nebo kopírují data a narušují výkon počítačů nebo počítačových sítí. Na rozdíl od virů a červů, hrozby, které spadají do této kategorie, nejsou schopné vytvářet kopie nebo se samy replikovat.Trojice jsou klasifikována podle typu akce, kterou provádějí na infikovaném počítači.
Třída: Trojan-Spy
Programy Trojan-Spy se používají k špehování akcí uživatele (sledování dat zadaných klávesnicí, vytváření snímků na obrazovce, načtení seznamu běžících aplikací apod.) Získané informace jsou poté předávány škodlivému uživateli, který kontroluje Trojan. K přenosu dat lze použít e-mail, FTP, web (včetně dat v žádosti) a další metody.Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Tento trojský špionážní program získává důvěrné informace. Jedná se o soubor Windows PE EXE. Je napsáno v Borland Delphi. Má velikost 289 280 bajtů. Je zabalen pomocí programu AsPack. Rozbalený soubor má velikost přibližně 704 kB.
Instalace
Trojka vytvoří následující klíče registru systému:
[HKCRSoftwareMicrosoftmicroware][HKLMSoftwarestonari]
Aby bylo zajištěno, že Trojan je spuštěn automaticky, když je systém restartován, Trojan zaregistruje jeho spustitelný soubor v registru systému:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
Trojka upravuje následující hodnotu klíče registru systému:
[HKCRexefileshellopencommand]"% 1% * "
Užitné zatížení
Trojan přijímá snímky obrazovky a shromažďuje informace o úhozu a událostech myší.
Trojský server uloží získaná data do následujícího souboru:
% System% setpass.dat
a odešle jej na e-mailovou adresu vzdáleného uživatele se zlými úmysly.
Červ používá následující server smtp k odeslání sklizených dat:
smtp.163.net
(Tento trojan obsahuje informace napsané v čínštině.)
Pokyny k odstranění
Pokud váš počítač nemá aktuální antivirový program nebo vůbec nemá antivirové řešení, postupujte podle níže uvedených pokynů a odstraňte škodlivý program:
- Použijte Správce úloh k ukončení procesu trojského koně.
- Odstraňte následující klíče registru:
[HKCRSoftwareMicrosoftmicroware][HKLMSoftwarestonari]
- Odstraňte odkazy na Trojan z následujících klíčů registru systému: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] - Odstraňte původní soubor Trojana (umístění bude záviset na tom, jak program původně pronikl do poškozeného počítače).
- Odstraňte soubor vytvořený trojanem:
% System% setpass.dat
- Vrátit následující klíč registru:
[HKCRexefileshellopencommand]"% 1% *"
- Aktualizujte antivirové databáze a proveďte úplné skenování počítače ( stáhněte zkušební verzi aplikace Kaspersky Anti-Virus).
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com