Trojan-PSW.Win32.Movida

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-PSW

Предназначены для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. PSW – аббревиатура от Password Stealing Ware («ПО для кражи паролей»). При запуске PSW-троянцы ищут необходимую информацию в системных файлах, хранящих различную конфиденциальную информацию, или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы. Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению. Программы, занимающиеся кражей учетных записей пользователей систем интернет-банкинга, интернет-пейджинга и онлайн-игр, в силу их многочисленности, выделены в отдельные классы: Trojan Banker, Trojan IM и Trojan GameThief соответственно.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Троянская программа, предназначенная для похищения паролей пользователя.

Является приложением Windows (PE-EXE файл). Имеет размер 57 334 байта. Ничем не упакована.

Payload

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%msinet.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"msinet" = "%System%msinet.exe"        

Деструктивная активность

Троянец получает параметры всех существующих в системе модемных соединений, а также все сохраненные в системе пароли при помощи функции WnetEnumCachedPasswords.

Отчет с паролями отправляется на электронную почту злоумышленникам:

***etbot@mail.ru
***toll@yahoo.com

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи "Диспетчера задач" завершить троянский процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе реестра (как работать с реестром?):

   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
   "msinet" = "%System%msinet.exe"        

4. Удалить файл:

   %System%msinet.exe

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

   Смотрите также

   Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

   Нашли неточность в описании этой уязвимости? Дайте нам знать!