Trojan.Win32.BKClient

Hauptgruppierung: TrojWare

Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.

Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.

Kategorie: Trojan

Ein bösartiges Programm, das entwickelt wurde, um die Aktivitäten des Benutzers elektronisch auszuspionieren (Tastatureingaben abfangen, Screenshots erstellen, eine Liste aktiver Anwendungen aufzeichnen usw.). Die gesammelten Informationen werden auf verschiedene Arten an den Cyberkriminellen gesendet, einschließlich E-Mail, FTP und HTTP (indem Daten in einer Anfrage gesendet werden).

Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Beschreibung

Technische Details

Dieser Trojaner wurde entwickelt, um Benutzerkennwörter zu stehlen. Es ist eine Windows PE EXE-Datei. Es ist 57,821 Bytes groß. Es ist mit UPX gepackt. Die entpackte Datei ist ungefähr 73 KB groß.

Installation

Beim Start extrahiert der Trojaner die folgenden Dateien aus seinem Hauptteil:

• % System% Bk_client.htm - 9.370 Bytes groß;
• % System% CONNECT.htm - 7.468 Byte groß;
• % System% ATOMIC.GIF - 10.240 Bytes groß.

Sobald der Trojaner% System% Bk_client.htm aus seinem Körper extrahiert hat, wird der Trojaner selbst gestartet.

Der Trojaner fügt der Systemregistrierung außerdem den folgenden Parameter hinzu:

Dadurch wird sichergestellt, dass bei jedem Laden des Betriebssystems der Internet Explorer gestartet wird und% System% Bk_client.htm geöffnet wird.

Nutzlast

Dieses Programm wurde entwickelt, um ein russisches Spiel namens "Boitsovskii klub" (Fight Club) zu hacken. Dies ist jedoch ein falsches Programm, und der Trojaner führt tatsächlich die folgenden Aktionen aus:

• Nach dem Start zeigt der Trojaner das folgende Fenster an:

  

• Wenn der Benutzer auf die Schaltfläche "Podkluchit'sya" ("Verbinden") klickt, sendet der Trojaner die in den Feldern "Login" und "Password" eingegebenen Daten per E-Mail an den entfernten böswilligen Benutzer bei **** et777 @ rambler. ru . Der Trojaner verwendet das folgende Skript zum Senden von E-Mails:

   http://world-market.com/cgi-bin/mailto.pl 

  Nachdem die E-Mail gesendet wurde, lädt der Browser eine Seite aus% System% CONNECT.htm in einem Popup-Fenster:

  

  Dieses Fenster informiert den Benutzer darüber, dass die Verbindung fehlgeschlagen ist, und weist den Benutzer an, den Verbindungsprozess von Schritt 1 an zu wiederholen.

Anweisungen zum Entfernen

Wenn Ihr Computer über kein aktuelles Antivirenprogramm verfügt oder über keine Antivirussoftware verfügt, führen Sie die folgenden Schritte aus, um das schädliche Programm zu löschen:

1. Löschen Sie die folgenden Dateien:

    % System% Bk_client.htm% System% CONNECT.htm% System% ATOMIC.GIF 

2. Löschen Sie den folgenden Systemregistrierungsschlüsselparameter:
   [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
   "Bk_client.htm" = "% System% Bk_client.htm"
3. Aktualisieren Sie Ihre Antiviren-Datenbanken und führen Sie eine vollständige Überprüfung des Computers durch ( laden Sie eine Testversion von Kaspersky Anti-Virus herunter ).
   Mehr erfahren

   Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

   Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!