Технические детали
Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Программа является приложением Windows (PE EXE-файл). Имеет размер 65697 байт. Упакована при помощи Upack. Распакованный размер — около 377 КБ. Написана на C++.
Инсталляция
Троянец копирует свой исполняемый файл в переменную окружения %APPDATA% под именем "I2.bak":
%Documents and Settings%/текущий пользователь Windows/Application Data/I2.bak
Деструктивная активность
После активации троянец извлекает из своего тела в в переменную окружения %APPDATA% динамическую библиотеку DLL под именем "D6.dll":
%APPDATA%/D6.dll
Данный файл имеет размер 60015 байта и детектируется Антивирусом Касперского, как Trojan-PSW.Win32.QQPass.lvp.
При регистрации библиотеки в системе троянец добавляются следующие ключи системного реестра:
[HKCR/CLSID/{A4137360-4E40-4BAB-89FF-14656CE38E53}/InProcServer32]
"(default)" = "%APPDATA%/D6.dll"
"ThreadingModel" = "Apartment"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
{A4137360-4E40-4BAB-89FF-14656CE38E53}
Далее библиотека подгружается во все запущенные процессы в системе. При помощи библиотечной функции "DllHookOn" троянец устанавливает системный перехватчик позволяющий контролировать вводимые данные от мыши и клавиатуры в окне с заголовком:
COM_9727
По завершению своей работы троянец удаляет свой исполняемый файл I2.bak.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключи (системного реестра):
[HKCR/CLSID/{A4137360-4E40-4BAB-89FF-14656CE38E53}/InProcServer32]
"(default)" = "%APPDATA%/D6.dll"
"ThreadingModel" = "Apartment"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
{A4137360-4E40-4BAB-89FF-14656CE38E53}
- Удалить файл:
%APPDATA%/Ntuscrb.dll
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|