Поведение: Trojan-Spy, программа-шпион
Платформа: Win32
Технические детали
Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 7241 байт. Упакована FSG. Распакованный размер — около 40 КБ. Написана на C++.
Деструктивная активность
Данный троянец используется для установки BHO объекта.
При запуске троянец извлекает из своего тела библиотеку и сохраняет ее в системном каталоге Windows под следующим именем:
%System%/mswapi.dll
Данный файл имеет размер 7680 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Iespy.sk
Созданная библиотека регистрируется троянцем как Browser Helper Object. При этом создаются соответствующие ключи системного реестра:
[HKCR/CLSID/{e3a729da-eabc-df50-1842-dfd682644311}/InprocServer32]
"(Default)" = "%System%/mswapi.dll"
"ThreadingModel" = "Apartment"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper
Objects/{e3a729da-eabc-df50-1842-dfd682644311}]
После чего троянец создает во временном каталоге текущего пользователя Windows файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%System%/mswapi.dll
- Удалить ключи системного реестра:
[HKCR/CLSID/{e3a729da-eabc-df50-1842-dfd682644311}]
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper
Objects/{e3a729da-eabc-df50-1842-dfd682644311}]
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
