Classe pour les parents: TrojWare
Les chevaux de Troie sont des programmes malveillants qui exécutent des actions qui ne sont pas autorisées par l'utilisateur: ils suppriment, bloquent, modifient ou copient les données et perturbent les performances des ordinateurs ou des réseaux informatiques. Contrairement aux virus et aux vers, les menaces qui tombent dans cette catégorie sont incapables de se reproduire ou de s'autoreproduire. Les chevaux de Troie sont classés en fonction du type d'action qu'ils effectuent sur un ordinateur infecté.Classe: Trojan-Spy
Les programmes Trojan-Spy sont utilisés pour espionner les actions d'un utilisateur (suivre les données saisies au clavier, faire des captures d'écran, récupérer une liste d'applications en cours, etc.). Les informations récoltées sont ensuite transmises à l'utilisateur malveillant. Email, FTP, le web (y compris les données dans une demande) et d'autres méthodes peuvent être utilisés pour transmettre les données.Plus d'informations
Plateforme: Win32
Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.Description
Détails techniques
Ce cheval de Troie est conçu pour voler des données confidentielles. C'est un fichier EXE Windows PE. Il a une taille de 428 032 octets. Il est écrit en Delphi.
Installation
Le cheval de Troie ajoute également un lien vers son fichier exécutable dans le registre du système, garantissant qu'il sera lancé lors du redémarrage de Windows sur la machine victime:
"Win32Mgr" = "
Cela garantit que le cheval de Troie sera lancé automatiquement chaque fois que Windows est redémarré sur la machine victime.
Charge utile
Le cheval de Troie scanne le système pour les fenêtres avec la classe "aim_imessage" et obtient les noms des contacts à partir des titres des fenêtres.
Il scanne ensuite les fenêtres trouvées pour les éléments de contrôle avec la classe "wndate32class" et pour les éléments avec la classe "ate32class" et obtient le texte d'eux.
Ce texte sera sauvegardé par le cheval de Troie dans le fichier contenant le fichier exécutable du cheval de Troie. Les fichiers auront une extension .htm, et le nom du fichier sera le même que le nom du contact.
Instructions de suppression
Si votre ordinateur ne dispose pas d'un antivirus à jour ou n'a pas de solution antivirus, suivez les instructions ci-dessous pour supprimer le programme malveillant:
- Utilisez le Gestionnaire des tâches pour mettre fin au processus de cheval de Troie.
- Supprimez le fichier cheval de Troie d'origine (l'emplacement dépend de la manière dont le programme a pénétré à l'origine sur la machine victime).
- Supprimez le lien suivant du registre système: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Win32Mgr" = "" - Supprimez tous les fichiers créés par le cheval de Troie.
- Mettez à jour vos bases de données antivirus et effectuez une analyse complète de l'ordinateur ( téléchargez une version d'évaluation de Kaspersky Anti-Virus).
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com