Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-Spy
Предназначены для ведения электронного шпионажа за пользователем (вводимые с клавиатуры данные, изображения экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Программа-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер 4608 байт, ничем не упакована, написана на Ассемблере.Payload
Троянская программа запускается только на операционных системах Windows 9x.
При запуске троянская программа проверяет, не запущена ли другая копия этой программы через функцию CreateFileMapping. Если другая копия уже запущена, то троянец выдает следующее сообщение и завершает свою работу:
В случае ошибки выполнения функции CreateFileMapping программа также завершается, выводя на экран следующее сообщение:
При инсталляции троянская программа копирует себя в системный каталог Windows с именем Regback.exe:
После чего регистрирует себя в ключе автозапуска системного реестра:
"RegistryBackup"="Regback.exe"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Троянец создаёт каталог %System%regback, в который записывает файлы с именами <месяц>.<число>.ILL, в которые записывает заголовок активного окна и нажатые на клавиатуре клавиши.
Removal instructions
- В диспетчере задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить следующий файл:
%System%Regback.exe
- Удалить из системного реестра следующую запись:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"RegistryBackup"="Regback.exe" - Удалить созданный троянцем каталог:
%System%regback
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com