BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Trojan.Win32.BKClient

Sınıf Trojan
Platform Win32
Açıklama

Teknik detaylar

Bu Truva, kullanıcı şifrelerini çalmak üzere tasarlanmıştır. Bu bir Windows PE EXE dosyasıdır. Büyüklüğü 57,821 bayttır. UPX kullanılarak paketlenmiştir. Paketlenmemiş dosya boyutu yaklaşık 73 KB'dir.

Kurulum

Başlatma sırasında, Truva atı aşağıdaki dosyaları kendi vücudundan ayıklar:

  • % Sistem% Bk_client.htm9,370 bayt boyutunda;
  • % System% CONNECT.htm – 7,468 bayt boyutunda;
  • % Sistem% ATOMIC.GIF – 10,240 bayt boyutunda.

Trojan,% System% Bk_client.htm'yi kendi vücudundan çıkardığında, Trojan'ın kendisi başlatılacak.

Trojan ayrıca sistem kaydına aşağıdaki parametreyi ekler:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Bk_client.htm" = "% System% Bk_client.htm"

Bu, işletim sistemi her yüklendiğinde, Internet Explorer başlatılacak ve% System% Bk_client.htm açılacaktır.

Taşıma kapasitesi

Bu program 'Boitsovskii klub' (Dövüş Kulübü) adlı Rus oyununu kesmek için tasarlanmıştır. Ancak, bu sahte bir program ve Truva aslında aşağıdaki eylemleri gerçekleştirecek:

  • Başlatıldığında, Truva atı aşağıdaki pencereyi görüntüler:

  • Kullanıcı 'Podkluchit'sya' ('Bağlan') düğmesine tıkladığında Truva, 'Giriş' ve 'Şifre' alanlarında girilen verileri e-posta yoluyla **** et777 @ rambler adresindeki uzaktaki kötü niyetli kullanıcıya e-posta ile gönderecektir. ru . Trojan, e-posta göndermek için aşağıdaki komut dosyasını kullanır:

     http://world-market.com/cgi-bin/mailto.pl 

    E-posta gönderildikten sonra, tarayıcı açılır pencerede% System% CONNECT.htm sayfasından bir sayfa yükler:

    Bu pencere, kullanıcıya bağlantının başarısız olduğunu bildirir ve kullanıcıya bağlantı sürecini birinci adımdan yinelemesini söyler.

Kaldırma talimatları

Bilgisayarınızda güncel bir antivirüs yoksa veya antivirüs çözümünüz yoksa, kötü amaçlı programı silmek için aşağıdaki talimatları izleyin:

  1. Aşağıdaki dosyaları silin:
     % System% Bk_client.htm
    % Sistem% CONNECT.htm
    % Sistem% ATOMIC.GIF 
  2. Aşağıdaki sistem kayıt defteri anahtarı parametresini silin:
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
    "Bk_client.htm" = "% System% Bk_client.htm"
  3. Virüsten koruma veritabanlarınızı güncelleyin ve tam bir tarama yapın (Kaspersky Anti-Virüs'ün deneme sürümünü indirin ).

Orijinaline link