Класс
Trojan-Spy
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Spy

Предназначены для ведения электронного шпионажа за пользователем (вводимые с клавиатуры данные, изображения экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Троянская программа-шпион. Похищает конфиденциальную информацию. Является приложением Windows (PE EXE-файл). Написана на Borland Delphi. Имеет размер 289280 байт. Упакована при помощи Aspack. Размер распакованного файла — около 704 KБ.

Инсталляция

Троянец создает следующие ключи в системном реестре:

[HKCRSoftwareMicrosoftmicroware]
[HKLMSoftwarestonari]

Для автоматического запуска при каждом последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]

Также изменяется значение ключа системного реестра:

[HKCRexefileshellopencommand]
"<путь к файлу трояна>%1 %*"

Payload

Программа-шпион выполняет снимки с экрана компьютера и следит за нажатиями на кнопки мыши и клавиатурными операциями.

Собранную информацию троянец записывает в файл %System%setpass.dat и отсылает на электронный почтовый ящик злоумышленника.

Для отправки похищенных сведений используется следующий smtp-сервер:

smtp.163.net

(Троянская программа содержит информацию на китайском языке.)

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить ключи реестра:
    [HKCRSoftwareMicrosoftmicroware]
    [HKLMSoftwarestonari]
  3. Удалить ссылки на троянца из следующих ключей системного реестра:
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
  4. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Удалить созданный троянцем файл:
    %System%setpass.dat
  6. Восстановить ключ системного реестра:
    [HKCRexefileshellopencommand]
    "%1 %*"
  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.