Trojan-PSW.Win32.Kesk

Дата обнаружения 16/07/2002
Класс Trojan-PSW
Платформа Win32
Описание

Technical Details

Троянская программа, предназначенная для похищения паролей. Является приложением Windows (PE EXE-файл). Имеет размер 9728 байт. Ничем не упакована.

Инсталляция

Троянец инсталлируется в систему при помомщи других вредоносных программ.

Для успешного запуска вирусу требуется наличие системной библиотеки «svrapi.dll», содержащей функции мониторинга администрирования разделяемых сетевых ресурсов.

Троян добавляет себя в ключ автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
«Kernel.Tsk» = «<путь до троянской программы>«

Таким образом, при каждом по следующем старте Windows автоматически запускает троянский файл.

Payload

Данная программа используется для кражи паролей пользователя. Работает под Windows 95/98/Me и может выполнять следующие действия:

  • делать снимки экрана;
  • вести лог клавиатурного ввода;
  • следить за перемещениями курсора мыши;
  • производить учет посещаемых сайтов.

Вся собранная информация отсылается на электронный почтовый ящик, указанный злоумышленником.

Следует отметить, что троянец может быть сконфигурирован. В этом случае интерфейс программы настройки выглядит так:

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить троянский файл (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить следующее значение реестра:
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "Kernel.Tsk "
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).