Поведение
Trojan-PSW, кража паролей.
Технические детали
Троянская программа-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Написана на Delphi. Размер зараженных файлов варьируется в пределах от 80 до 240 КБ.
Инсталляция
После запуска троянец создает во временной папке «%Temp%» и запускает на исполнение следующие файлы:
- svchost.exe — имеет размер 171948 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.Osmer.f;
- 91402_invoice.pdf — имеет размер 65879 байт. Является документом PDF, содержащим следующую информацию:
Также троянец сохраняет свою копию под оригинальным именем в корневом каталоге диска С:.
Деструктивная активность
Вредоносный процесс «svchost.exe» представляет собой эмулятор терминала платежной системы «ОСМП», предназначенной для осуществления платежей за услуги различного рода (сотовая связь, коммерческое телевидение, Интернет, ЖКХ).
При запуске троянец ищет в системе и закрывает окна с именем «Dealer».
Затем, подменяя интерфейс терминала, похищает пароли к учетным записям для работы с ним, а также номера банковских счетов.
Собранная информация отправляется на электронный адрес злоумышленника.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
c:/<оригинальное имя троянца>.exe
%Temp%/91402_invoice.pdf
%Temp%/svchost.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
