Trojan-Spy.Win32.AimSpy

Technical Details

Троянская программа, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 428032 байта. Написана на Delphi.

Инсталляция

Троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

Таким образом, вирус будет автоматически запускаться при каждом новом старте Windows.

Payload

Троянец ищет в системе окна с заголовками класса «aim_imessage» и получает из них контактные данные тех, с кем пользователь ведет переписку.

В этих же окнах производится поиск элементов управления с именами класса «wndate32class», затем — поиск элемента «ate32class» с последующим извлечением из него текста.

Полученный текст троянец записывает в файлы с расширением .HTM и именами, соответствующими именам контактов. Данные файлы сохраняются в той же рабочей папке, где содержится исполняемый файл вируса.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить ссылку из ключа автозапуска системного реестра:
   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
   “Win32Mgr” = “<путь к исполняемому файлу трояна>“
4. Удалить созданные троянцем файлы.
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).