Технические детали
Программа, относящаяся к семейству троянцев, ворующих пароли пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 348360 байт. Упакована при помощи MoleBox. Распакованный размер – около 368 КБ. Написана на C++.
Деструктивная активность
После запуска троянец читает из ресурсов файл конфигурации для своей дальнейшей работы, а затем, в соответствии с установленными значениями выполняет нижеперечисленные действия.
Имеет механизм противодействия отладке и динамическому анализу. Завершает свою работу, если обнаруживает в системе окна с классами имен:
PROCMON_WINDOW_CLASS
gdkWindowToplevel
Похищает персональные данные об учетных записях из следующих приложений и сервисов:
Microsoft Passport.Net
Google Talk
Trillian
Pidgin
Paltalk
Steam Valve
No-Ip Duc
DynDNS
Mozilla Firefox
Internet Explorer 7/8
Google Chrome
Opera
Internet Download Manager
FileZilla
FlashFXP
SmartFTP
CuteFTP Lite
CuteFTP Home
CuteFTP Pro
Похищенные данные троянец отправляет на следующий URL адрес:
http://www.m***kakings.com
На момент создания описания указанный адрес не работал.
После этого троянец завершает свою работу.
Также во время работы троянской программы создается файл:
%WorkDir%/имя_троянской_программы-up.txt
Который содержит лог работы программы, с помощью которой защищена троянская программа.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%WorkDir%/имя_троянской_программы-up.txt
- Сменить пароли к скомпрометированным учетным записям.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
