Trojan-Downloader.Win32.Small.bmhb

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая загружает файлы из сети Интернет без ведома пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 6144 байта. Написана на C++.

Деструктивная активность

При запуске троянец собирает информацию о логинах и паролях пользователя для клиентских приложений игры в онлайн покера «PokerStars» и «Full Tilt Poker». Для этого троянец ищет файлы приложения «PokerStars» и считывает из них логин и пароль пользователя:

%ProgramFiles%\PokerStars\user.ini
%UserProfile%\Local Settings\Application Data\
PokerStars\user.ini
%AppData%\PokerStars\user.ini

Логин и пароль для «Full Tilt Poker» троянец получает путем считывания информации из следующих ключей системного реестра:

[HKCU\Software\Full Tilt Poker.Net\UserInfo]
"Username"
"Password"

[HKCU\Software\Full Tilt Poker\UserInfo]
"Username"
"Password"

Собранная информация отправляется троянской программой по адресу:

http://69.***.236.7/poxer/gate.php

После этого троянец загружает файл по следующей ссылке:

http://v***ps.in/1.txt

На момент создания описания ссылка не работала.

Скачанный файл сохраняется в рабочем каталоге троянца под именем:

%WorkDir%\1.exe

Далее скачанный файл запускается.

После этого троянец создает в рабочем каталоге троянца файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файл:

   %WorkDir%\1.exe

2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).