Trojan-PSW.Win32.Dybalom.ggk

Время детектирования	15 мар 2011 11:17 MSK
Время выпуска обновления	15 мар 2011 16:00 MSK
Описание опубликовано	01 мар 2012 15:45 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Программа, относящаяся к семейству троянцев, ворующих пароли пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 348360 байт. Упакована при помощи MoleBox. Распакованный размер – около 368 КБ. Написана на C++.

Деструктивная активность

После запуска троянец читает из ресурсов файл конфигурации для своей дальнейшей работы, а затем, в соответствии с установленными значениями выполняет нижеперечисленные действия.

Имеет механизм противодействия отладке и динамическому анализу. Завершает свою работу, если обнаруживает в системе окна с классами имен:

PROCMON_WINDOW_CLASS
gdkWindowToplevel

Похищает персональные данные об учетных записях из следующих приложений и сервисов:

Microsoft Passport.Net
Google Talk
Trillian
Pidgin
Paltalk
Steam Valve
No-Ip Duc
DynDNS
Mozilla Firefox
Internet Explorer 7/8
Google Chrome
Opera
Internet Download Manager
FileZilla
FlashFXP
SmartFTP
CuteFTP Lite
CuteFTP Home
CuteFTP Pro

Похищенные данные троянец отправляет на следующий URL адрес:

http://www.m***kakings.com

На момент создания описания указанный адрес не работал.

После этого троянец завершает свою работу.

Также во время работы троянской программы создается файл:

%WorkDir%\<имя_троянской_программы<-up.txt

Который содержит лог работы программы, с помощью которой защищена троянская программа.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Удалить файл:

%WorkDir%\<имя_троянской_программы>-up.txt

Сменить пароли к скомпрометированным учетным записям.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 1CF38EA970C8EBDCA48DB1B349CF234B
SHA1: B4B8E60112516B6886994E4D0DFD45D3659619FF

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-PSW

Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.

При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.

Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.

Другие названия

Trojan-PSW.Win32.Dybalom.ggk («Лаборатория Касперского») также известен как:

PWS:Win32/Fignotok.A (MS(OneCare))
Gen:Trojan.Heur.RP.vq1@aCY1WPb (BitDef7)
Worm.Rebhip.Gen.2 (VirusBuster)
Trojan-PWS.Win32.Dybalom (Ikarus)
PSW.Generic8.BCCK (AVG)
Backdoor.Bifrose!gen (NAV)
NseCheckFile2() returned 0x00010018 (Norman)
Trojan:W32/Agent.DQKQ [FSE] (FSecure)
TROJ_BRDLAB.SMEP (TrendMicro)
Worm.Rebhip.Gen.2 (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».