На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-PSW

Trojan-PSW.Win32.Agent.eb


Rootkit:  Нет
Видимые проявления:  Посторонние исполняемые файлы Tapi32init.exe и REGSVR.EXE в системной папке

Троянская программа, исполняемый файл имеет размер 14 кб, упакован, иконка визуально похожа на иконку JPEG файла. В случае запуска скрытно выполняет следующие действия:
1. Создает свои копии своего исполняемого файла на диске – файлы с именами WINDOWS\system32\Tapi32init.exe и WINDOWS\REGSVR.EXE
2. Регистрируется в автозапуске при помощи сравнительно малоизвестного способа – при помощи ключа Active Setup, обычно используемого инсталляторами. В данном ключе создается раздел {6M8A6G00-3I18-11C0-821H-444200140P0S}, содержащий параметр StubPath для запуска WINDOWS\system32\Tapi32init.exe
3. Запускает созданный файл WINDOWS\REGSVR.EXE и завершает работу, выводя диалоговое окно с сообщением на английском языке о том, что файл поврежден при загрузке. Исходный файл не удаляется

Запущенный процесс трояна не маскируется от обнаружения, визуально не проявляет своего присутствия в системе. Периодически пересоздает ключ автозапуска в разделе Active Setup (с интервалом примерно 2 секунды), что делает бесполезным его удаление при помощи редактора реестра. Основное назначение троянской программы – ожидание появления окна Интернет-пейджера Yahoo и копирование из него логина и пароля с последующей отправкой злоумышленникам.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.