Trojan-PSW.Win32.Small.ae

Celem tego trojana jest kradzie偶 hase艂 u偶ytkownika. Ma posta膰 pliku PE EXE o rozmiarze 10240 bajt贸w.

Instalacja

Trojan kopiuje sw贸j plik wykonywalny do foldera systemu Windows:

%System%winsys.dll

W celu zapewnienia sobie automatycznego uruchamiania wraz z ka偶dym startem systemu trojan dodaje odsy艂acz do swojego pliku wykonywalnego w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"winsys" = "winsys.dll"

Funkcje szkodnika

Trojan przechwytuje zawarto艣膰 obszaru, w kt贸rym przechowywane s膮 has艂a systemowe, poprzez wykorzystywanie nieudokumentowanej funkcji WnetEnumCachedPasswords.

Trojan wysy艂a przechwycone has艂a za po艣rednictwem poczty elektronicznej na poczt臋 e-mail zdalnego szkodliwego u偶ytkownika:

1*****@freemail.co.za

Trojan tworzy r贸wnie偶 nast臋puj膮cy klucz rejestru i zapisuje do tego klucza swoj膮 konfiguracj臋:

[HKLMSOFTWARESlySoft]

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮cy parametr klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
    "winsys" = "winsys.dll"

  4. Usu艅 nast臋puj膮cy klucz rejestru systemowego:

    [HKLMSOFTWARESlySoft]

  5. Usu艅 nast臋puj膮cy plik:
    %System%winsys.dll
    
  6. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).
PWS-Z (McAfee),   PWSteal.Trojan (Symantec),   TR/DUNpws.Z (H+BEDV),   Trojan.Pws.Z (SOFTWIN),   Trojan.DUNpws.Z (ClamAV)