Trojan-Spy.Win32.KeyHunter

Класс Trojan-Spy
Платформа Win32
Описание

Technical Details

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры и операции с курсором мыши. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Упакована с помощью UPX, распакованный размер – около 15 КБ.

Инсталляция

Для автоматического запуска при каждом последующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
«@» = «<путь и имя исполняемого файла троянца>«

Payload

Троянская программа устанавливает перехватчик событий клавиатуры, с помощью которого следит за клавиатурным вводом в окнах программ, где работает пользователь. Собранные данные сохраняются в файл отчета, который помещается в рабочую папку вируса с тем же именем, что и его исполняемый файл (имеющий расширение .DLL).

В отчет троянец помещает также заголовки окон, с которыми работал пользователь, и последовательности введенных с клавиатуры символов.

Созданный файл отчета троянец периодически загружает на FTP-сервер.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр ключа реестра:
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    «@» = «<путь и имя исполняемого файла трояна>«
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).