Trojan-Spy.Win32.Dks.11.b

Jest to trojan rejestruj膮cy znaki wprowadzane przez u偶ytkownika z klawiatury. Ma posta膰 pliku Windows PE EXE o rozmiarze 14 336 bajt贸w. Powsta艂 przy u偶yciu j臋zyka programowania Visual C++.

Instalacja

Po uruchomieniu trojan kopiuje si臋 do foldera systemu Windows jako systemks.exe:

%System%systemks.exe

Trojan tworzy wpis w rejestrze systemowym:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"systemks" = "systemks.exe"

W ten spos贸b zapewnia sobie uruchomienie na komputerze ofiary wraz z ka偶dym startem systemu Windows.

Trojan tworzy r贸wnie偶 plik o nazwie systemks.dll w rejestrze systemu Windows:

%System%systemks.dll (9 728 bajt贸w)

Plik ten przechwytuje informacje wprowadzane z klawiatury i zapisuje je do pliku dziennika.

Trojan b臋dzie r贸wnie偶 艣ledzi艂 swoje kolejne uruchomienie poprzez szukanie okna z nag艂贸wkiem systemks.

Funkcje trojana

Trojan przechwytuje informacje wprowadzane z klawiatury, okre艣la j臋zyk, w kt贸rym zosta艂y napisane, 艣ledzi operacje okna i zapisuje te informacje w poni偶szym pliku:

%System%kslog.txt

Usuwanie trojana z zainfekowanego systemu

W celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce czynno艣ci:

  1. Usun膮膰 proces trojana
  2. Usun膮膰 oryginalny plik trojana (jego lokalizacja zale偶y od tego, w jaki spos贸b trojan przenikn膮艂 do maszyny ofiary)
  3. Usun膮膰 pliki stworzone przez trojana:
    %System%systemks.exe
    %System%systemks.dll
    %System%kslog.txt
    
  4. Usun膮膰 nast臋puj膮cy klucz z rejestru:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "systemks" = "systemks.exe"

  5. Uaktualni膰 sygnatury zagro偶e艅 i wykona膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus).
TrojanSpy.Win32.DKS.11.b (Kaspersky Lab), Trojan Horse (Symantec),   Trojan.Dks.11 (Doctor Web),   Troj/Dks11-B (Sophos),   TrojanSpy:Win32/Dks.11.B (RAV),   TROJ_DKS.11.B (Trend Micro),   TR/DKSSpy.11.B.2 (H+BEDV),   Win32:Trojan-gen. (ALWIL),   Win32/Spy.Dks.11.B (Eset)