Технические детали
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 83456 байт. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
%System%/3P2QBvv.exe
Для автоматического запуска созданной копии при каждом следующем старте системы троянец создает ключ системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit" = "…,%System%/3P2QBvv.exe"
Таким образом, копия троянца будет запускаться на выполнение процессом "WINLOGON.EXE" даже при загрузке компьютера в «безопасном режиме».
Деструктивная активность
После запуска троянец выполняет следующие действия:
- находит в системе следующие процессы:
opera.exe
iexplore.exe
java.exe
- и устанавливает функции-перехватчики на следующие API-функции:
Getaddrinfo
gethostbyname
inet_add
PeekMessageW
Это позволяет троянцу отслеживать посещаемые пользователем сайты и перехватывать отправляемые в сеть данные.
- Следит за клавиатурным вводом пользователя (keylogger).
- Похищает пользовательскую информацию, касающуюся таких систем интернет-платежей, как
FAKTURA
Raiffeisen
Webmoney
BS-Defender
INIST
Полученную информацию троянец отсылает на сайт злоумышленника.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить подстроку:
%System%/3P2QBvv.exe
из значения ключа системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit"
- Перезагрузить компьютер.
- Удалить файл:
%System%/3P2QBvv.exe
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|