Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-PSW.Win32.WebMoner.hh

Trojan-PSW.Win32.WebMoner.hh

Время детектирования	14 июл 2009 05:52 MSK
Время выпуска обновления	22 июл 2009 18:53 MSK
Описание опубликовано	08 дек 2009 15:50 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предназначенная для кражи конфиденциальной информации от финансовой системы WebMoney.

Инсталляция

При запуске программа извлекает из себя и копирует в системный каталог Windows вредононый файл:

%System%\msvcrt57.dll

Для автоматического запуска при открытии пользователем любого файла на компьютере программа создает следующие ключи реестра:

[HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-
9C87-00AA005127ED}\InProcServer32]
@="D:\\WINDOWS\\system32\\msvcrt57.dll"

Деструктивная активность

Программа перехватывает логины и пароли программы WebMoney. В случае успешного перехвата, программа скачивает интернет страницу

http://www.icq.com/people/full_details_show.php?uin=***2462

на которой указаны данные одного из пользователей программы icq.

Далее программа расшифровывает полученные данные и извлекает из них следующую информацию:

Адрес интернет страницы, на которую программа должна отправить похищенные данные.
Адрес файла в интеренете, который программа впоследствии должна скачать и запустить.

После этого программа отправляет похищенные данные на полученный адрес и скачивает и запускает файл по полученному адресу.

На момент составления описания на указанной выше странице в зашифрованном виде находились следующие адреса:

http://nunu***.biz/1/1.php? – адрес для отправки похищенной информации. http://91.213.174.***/files/emo10.exe - адрес файла для загрузки и запуска.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить следующие значения ключей системного реестра:
[HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] @="D:\\WINDOWS\\system32\\msvcrt57.dll"
Перезагрузить компьютер.
Удалить файл, созданный троянцем:
```
%System%\msvcrt57.dll
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-PSW

Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.

При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.

Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com