Другие версии: .gen
Другие названия
Trojan-PSW.Win32.Lmir.a («Лаборатория Касперского») также известен как: Trojan.PSW.Lmir.a («Лаборатория Касперского»), PWS-LegMir (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Legmir (Doctor Web), Troj/PWS-AD (Sophos), PWS:Win32/Legendmir.A (RAV), TROJ_LEMIR.A (Trend Micro), TR/Lmir.a (H+BEDV), Win32:Trojan-gen. (ALWIL), PSW.Legendmir.3.C (Grisoft), Trojan.PSW.Lmir.a (SOFTWIN), Trojan Horse.LC (Panda), Win32/PSW.Legendmir.A (Eset)
Поведение
Trojan-PSW, кража паролей.
Технические детали
Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется от 147 до 171 КБ. Упакована при помощи AsPack. Написана на Delphi.
Инсталляция
При запуске троянец копирует себя в корневой каталог Windows («%WinDir%») под следующими именами, зависящими от его модификации:
internet.exe
winsys.exe
Также в зависимости от модификации вирус добавляет ссылку на свой файл в один из ключей автозапуска системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winsys" = "%WinDir%winsys.exe"
или
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"Internet" = "%WinDir%internet.exe"
Таким образом, при каждом последующем старте системы троянец запускается автоматически.
Деструктивная активность
Троянец представляет собой программу, ворующую пароли к популярной online-игре «Legend of Mir 2». Вирус ищет в системе окна с заголовком «legend of mir2» и похищает вводимые в них пользователем имя учетной записи и пароль.
Собранную информацию троянец отсылает на один из почтовых адресов злоумышленника:
***yahuu@163.net
dong****@163.com
friend***@peoplemail.com.cn
Для отправки почты используются следующие SMTP-сервера:
smtp.163.com
smtp.peoplemail.com.cn
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить системный процесс — «winsys.exe» или «internet.exe».
- Удалить значения системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winsys" = "%WinDir%winsys.exe"
или
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"Internet" = "%WinDir%internet.exe"
- Удалить файлы:
%WinDir%internet.exe
%WinDir%winsys.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|