Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-Spy
Предназначены для ведения электронного шпионажа за пользователем (вводимые с клавиатуры данные, изображения экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры и операции с курсором мыши. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Упакована с помощью UPX, распакованный размер – около 15 КБ.
Инсталляция
Для автоматического запуска при каждом последующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
"@" = "<путь и имя исполняемого файла троянца>"
Payload
Троянская программа устанавливает перехватчик событий клавиатуры, с помощью которого следит за клавиатурным вводом в окнах программ, где работает пользователь. Собранные данные сохраняются в файл отчета, который помещается в рабочую папку вируса с тем же именем, что и его исполняемый файл (имеющий расширение .DLL).
В отчет троянец помещает также заголовки окон, с которыми работал пользователь, и последовательности введенных с клавиатуры символов.
Созданный файл отчета троянец периодически загружает на FTP-сервер.
Removal instructions
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр ключа реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"@" = "<путь и имя исполняемого файла трояна>" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com