Trojan-PSW.Win32.Movida

Класс Trojan-PSW
Платформа Win32
Описание

Technical Details

Троянская программа, предназначенная для похищения паролей пользователя.

Является приложением Windows (PE-EXE файл). Имеет размер 57 334 байта. Ничем не упакована.

Payload

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%msinet.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"msinet" = "%System%msinet.exe"        

Деструктивная активность

Троянец получает параметры всех существующих в системе модемных соединений, а также все сохраненные в системе пароли при помощи функции WnetEnumCachedPasswords.

Отчет с паролями отправляется на электронную почту злоумышленникам:

***etbot@mail.ru
***toll@yahoo.com

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе реестра (как работать с реестром?):
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "msinet" = "%System%msinet.exe"        
  4. Удалить файл:
    %System%msinet.exe
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).