Trojan.Win32.BKClient

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan

Вредоносная программа, занимающаяся уничтожением, блокированием, модификацией или копированием информации, нарушением работы компьютеров или компьютерных сетей, и при этом не попавшая ни в один из классов троянских программ.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Троянская программа-обман, предназначенная для похищения паролей. Является приложением Windows (PE-EXE файл). Имеет размер 57821 байт. Упакована c помощью PECompact, распакованный размер — около 73 КБ.

Инсталляция

При запуске троянец извлекает из своего тела следующие файлы:

• %System%Bk_client.htm — имеет размер 9370 байт;
• %System%CONNECT.htm — имеет размер 7468 байт;
• %System%ATOMIC.GIF — имеет размер 10240 байт.

После извлечения файл %System%Bk_client.htm запускается.

Также программа добавляет параметр в ключ автозапуска системного реестра:

После этого при каждой последующей загрузке ОС запускается браузер Internet Explorer, в котором открывается файл %System%Bk_client.htm.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить следующие файлы:

   %System%Bk_client.htm
   %System%CONNECT.htm
   %System%ATOMIC.GIF

2. Удалить параметр в ключе реестра:
   [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
   "Bk_client.htm" = "%System%Bk_client.htm"
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

   Payload

   Данная программа создана для взлома игры «Бойцовский клуб». Однако, являясь программой-подделкой, троянец осуществляет следующие действия:

   • При запуске отображает на экране следующее окно:

     

   • При нажатии на кнопку «ПОДКЛЮЧИТЬСЯ...» троянец посылает введенные в полях "Login" и "Password" данные посредством электронной почты на адрес злоумышленника — ****et777@rambler.ru. Для отправки почты используется скрипт:

     http://world-market.com/cgi-bin/mailto.pl

     После отправки сообщения во всплывающем окне браузера загружается страница из файла
     System%CONNECT.htm:

     

   Смотрите также

   Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

   Нашли неточность в описании этой уязвимости? Дайте нам знать!