Trojan-Spy.Win32.Dks.12.b

Jest to trojan przechwytuj膮cy znaki wprowadzane z klawiatury. Ma posta膰 pliku PE EXE. Powsta艂 przy u偶yciu 艣rodowiska programistycznego Visual C++. Rozmiar zainfekowanego pliku to 13 824 bajt贸w.

Instalacja

Po uruchomieniu trojan kopiuje si臋 do foldera systemowego:

%System%systemks.exe

Nast臋pnie szkodnik tworzy poni偶szy wpis w rejestrze systemowym:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"systemks" = "systemks.exe"

co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego.

Dodatkowo trojan tworzy plik o rozmiarze 9 728 bajt贸w:

%System%systemks.dll

Plik ten przechwytuje informacje wprowadzane z klawiatury przez u偶ytkownika zainfekowanego u偶ytkownika i zapisuje je w raporcie.

Trojan kontroluje obecno艣膰 okna z nag艂贸wkiem systemks w celu unikni臋cia uruchomienia wi臋cej ni偶 jednej instancji samego siebie.

Funkcje szkodnika

Trojan przechwytuje informacje wprowadzane z klawiatury, okre艣la ich j臋zyk, 艣ledzi operacje wykonywane w aktywnym oknie i zapisuje te dane w nast臋puj膮cym pliku:

%System%kslog.txt

Usuwanie szkodnika z zainfekowanego systemu

W celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce operacje:

  1. Przy pomocy Mened偶era zada艅 zako艅czy膰 proces trojana
  2. Usun膮膰 oryginalny plik trojana (jego lokalizacja zale偶y od tego, w jaki spos贸b trojan przenikn膮艂 do maszyny ofiary)
  3. Usun膮膰 pliki utworzone przez trojana:
    %System%systemks.exe
    %System%systemks.dll
    %System%kslog.txt
    
  4. Usun膮膰 poni偶sze warto艣ci z rejestru:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "systemks" = "systemks.exe"

  5. Uaktualni膰 sygnatury zagro偶e艅 i wykona膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus)
TrojanSpy.Win32.DKS.12.b (Kaspersky Lab), Keylog-Dks (McAfee),   Keylogger.Trojan (Symantec),   Trojan.Dks.12 (Doctor Web),   Troj/KeySpy-DKS (Sophos),   TrojanSpy:Win32/Dks.1_2.B (RAV),   Win32:Trojan-gen. (ALWIL),   Trojan.Spy.Dks.1.2.B (SOFTWIN),   Trj/Spy.Dks.12.B (Panda),   Win32/Spy.Dks.12.B (Eset)