Classe pour les parents: TrojWare
Les chevaux de Troie sont des programmes malveillants qui exécutent des actions qui ne sont pas autorisées par l'utilisateur: ils suppriment, bloquent, modifient ou copient les données et perturbent les performances des ordinateurs ou des réseaux informatiques. Contrairement aux virus et aux vers, les menaces qui tombent dans cette catégorie sont incapables de se reproduire ou de s'autoreproduire. Les chevaux de Troie sont classés en fonction du type d'action qu'ils effectuent sur un ordinateur infecté.Classe: Trojan-PSW
Les programmes Trojan-PSW sont conçus pour dérober des informations de compte d'utilisateur telles que les connexions et les mots de passe des ordinateurs infectés. PSW est un acronyme de Password Stealing Ware. Lorsqu'il est lancé, un cheval de Troie PSW recherche les fichiers système qui stockent une série de données confidentielles ou le registre. Si de telles données sont trouvées, le cheval de Troie l'envoie à son «maître». L'email, le ftp, le Web (y compris les données dans une demande), ou d'autres méthodes peuvent être utilisés pour passer les données volées. Certains de ces chevaux de Troie volent également des informations d'enregistrement pour certains logiciels.Plus d'informations
Plateforme: VBS
Visual Basic Scripting Edition (VBScript) est un langage de script interprété par Windows Script Host. VBScript est largement utilisé pour créer des scripts sur les systèmes d'exploitation Microsoft Windows.Description
Détails techniques
Ce cheval de Troie vole les mots de passe des utilisateurs. C'est un virus VBScript. Le fichier a une taille de 977 octets. Le cheval de Troie peut être trouvé sur les pages Web. Il vole les mots de passe des systèmes Win9x.
Charge utile
Une fois qu'une page contenant du code malveillant a été ouverte, le cheval de Troie recherche dans les répertoires du lecteur C: les fichiers portant l'extension * .pwl. (Ces fichiers sont utilisés dans les systèmes Win9x pour stocker les mots de passe des utilisateurs).
Il utilise ensuite un objet ActiveXObject "MSMAPI.MAPISession" pour envoyer les mots de passe à l'adresse e-mail de l'utilisateur malveillant distant (onehalf***4@mail.ru). Le message aura le sujet suivant:
et contient le texte suivant:
Instructions de suppression
- Supprimez la page html contenant du code malveillant.
- Mettez à jour vos bases de données antivirus et effectuez une analyse complète de l'ordinateur ( téléchargez une version d'évaluation de Kaspersky Anti-Virus).
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com