Trojan-PSW.Win32.Kesk.a

Celem tego trojana jest kradzie偶 hase艂 u偶ytkownika. Ma posta膰 pliku PE EXE o rozmiarze 12 288 bajt贸w. Brak kompresji.

Instalacja

Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny do foldera systemu Windows z oryginaln膮 nazw膮 pliku.

Trojan dodaje r贸wnie偶 odno艣nik do swojego pliku wykonywalnego w rejestrze systemowym, przez co zapewnia sobie uruchomienie wraz z restartem systemu Windows na zaatakowanym komputerze:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Kernel.Tsk" = "(艣cie偶ka do pliku wykonywalnego trojana)"

Tym samym trojan zapewnia sobie automatyczne uruchamianie wraz z ka偶dym restartem systemu Windows na zaatakowanym komputerze.

Funkcje szkodnika

Trojan przechwytuje wszystkie has艂a przechowywane w systemie przy u偶yciu nieudokumentowanego odwo艂ania do funkcji w "WNetEnumCachedPasswords".

Poprzez przechwytywanie zdarze艅 zwi膮zanych z myszk膮 i klawiatur膮 trojan przechwytuje tekst wprowadzany w komponentach klasy "Edit" w oknach zwi膮zanych z nast臋puj膮cymi procesami:

Iexplore.exe
thebat.exe
msimn.exe

Trojan wysy艂a zebrane dane za po艣rednictwem poczty elektronicznej na adres email zdalnego szkodliwego u偶ytkownika:

zim***ov8@mail.ru

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu trojana.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 kopi臋 trojana z foldera systemu Windows.
  4. Usu艅 nast臋puj膮cy parametr klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
    "Kernel.Tsk" = "(艣cie偶ka do pliku wykonywalnego trojana)"

  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).
Trojan.PSW.Kesk.a (Kaspersky Lab), PWS-Zimenok (McAfee),   PWSteal.Trojan (Symantec),   Trojan.PWS.Zimenok.6 (Doctor Web),   Troj/Zimenok (Sophos),   PWS:Win32/Kesk.A (RAV),   TROJ_ZIMENOK.06 (Trend Micro),   TR/KeskPSW.B (H+BEDV),   Win32:Trojan-gen. (ALWIL),   Trojan.PSW.Kesk.A (SOFTWIN),   Trojan Horse (Panda),   Win32/PSW.Kesk.A (Eset)