Trojan-Spy.Win32.Ill

Technical Details

Программа-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер 4608 байт, ничем не упакована, написана на Ассемблере.

Payload

Троянская программа запускается только на операционных системах Windows 9x.

При запуске троянская программа проверяет, не запущена ли другая копия этой программы через функцию CreateFileMapping. Если другая копия уже запущена, то троянец выдает следующее сообщение и завершает свою работу:

В случае ошибки выполнения функции CreateFileMapping программа также завершается, выводя на экран следующее сообщение:

При инсталляции троянская программа копирует себя в системный каталог Windows с именем Regback.exe:

После чего регистрирует себя в ключе автозапуска системного реестра:

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец создаёт каталог %System%regback, в который записывает файлы с именами <месяц>.<число>.ILL, в которые записывает заголовок активного окна и нажатые на клавиатуре клавиши.

Removal instructions

1. В диспетчере задач завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить следующий файл:
   %System%Regback.exe
4. Удалить из системного реестра следующую запись:
   [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
    “RegistryBackup”=”Regback.exe”
5. Удалить созданный троянцем каталог:
   %System%regback
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).