Detect date
16/07/2002
Класс
Trojan-PSW
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-PSW

Предназначены для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. PSW – аббревиатура от Password Stealing Ware («ПО для кражи паролей»). При запуске PSW-троянцы ищут необходимую информацию в системных файлах, хранящих различную конфиденциальную информацию, или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы. Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению. Программы, занимающиеся кражей учетных записей пользователей систем интернет-банкинга, интернет-пейджинга и онлайн-игр, в силу их многочисленности, выделены в отдельные классы: Trojan Banker, Trojan IM и Trojan GameThief соответственно.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Троянская программа, предназначенная для похищения паролей. Является приложением Windows (PE EXE-файл). Имеет размер 9728 байт. Ничем не упакована.

Инсталляция

Троянец инсталлируется в систему при помомщи других вредоносных программ.

Для успешного запуска вирусу требуется наличие системной библиотеки «svrapi.dll», содержащей функции мониторинга администрирования разделяемых сетевых ресурсов.

Троян добавляет себя в ключ автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Kernel.Tsk" = "<путь до троянской программы>"

Таким образом, при каждом по следующем старте Windows автоматически запускает троянский файл.

Payload

Данная программа используется для кражи паролей пользователя. Работает под Windows 95/98/Me и может выполнять следующие действия:

  • делать снимки экрана;
  • вести лог клавиатурного ввода;
  • следить за перемещениями курсора мыши;
  • производить учет посещаемых сайтов.

Вся собранная информация отсылается на электронный почтовый ящик, указанный злоумышленником.

Следует отметить, что троянец может быть сконфигурирован. В этом случае интерфейс программы настройки выглядит так:

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить троянский файл (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить следующее значение реестра:
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "Kernel.Tsk "
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.