Trojan-PSW.Win32.Dybalom.ggk
| Время детектирования | 15 мар 2011 11:17 MSK |
| Время выпуска обновления | 15 мар 2011 16:00 MSK |
| Описание опубликовано | 01 мар 2012 15:45 MSK |
Технические детали
Программа, относящаяся к семейству троянцев, ворующих пароли пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 348360 байт. Упакована при помощи MoleBox. Распакованный размер – около 368 КБ. Написана на C++.
Деструктивная активность
После запуска троянец читает из ресурсов файл конфигурации для своей дальнейшей работы, а затем, в соответствии с установленными значениями выполняет нижеперечисленные действия.
Имеет механизм противодействия отладке и динамическому анализу. Завершает свою работу, если обнаруживает в системе окна с классами имен:
PROCMON_WINDOW_CLASS gdkWindowToplevelПохищает персональные данные об учетных записях из следующих приложений и сервисов:
Microsoft Passport.Net Google Talk Trillian Pidgin Paltalk Steam Valve No-Ip Duc DynDNS Mozilla Firefox Internet Explorer 7/8 Google Chrome Opera Internet Download Manager FileZilla FlashFXP SmartFTP CuteFTP Lite CuteFTP Home CuteFTP ProПохищенные данные троянец отправляет на следующий URL адрес:
http://www.m***kakings.comНа момент создания описания указанный адрес не работал.
После этого троянец завершает свою работу.
Также во время работы троянской программы создается файл:
%WorkDir%\<имя_троянской_программы<-up.txtКоторый содержит лог работы программы, с помощью которой защищена троянская программа.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%WorkDir%\<имя_троянской_программы>-up.txt
- Сменить пароли к скомпрометированным учетным записям.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (
).
MD5: 1CF38EA970C8EBDCA48DB1B349CF234B
SHA1: B4B8E60112516B6886994E4D0DFD45D3659619FF
Технические детали
Имеет размер 348360 байт.
Инсталляция
Создает следующие файлы на зараженном компьютере:
- <путь к исходной программе><файл исходной программы>-up.txt
- Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\chrtmp
Вредоносная активность
С целью обхода средств мониторинга и отладки ищет окна сообщений:
| Класс: | PROCMON_WINDOW_CLASS |
Пытается найти файлы на компьютере пользователя по следующим маскам:
- *.*
Прочие действия
| Класс: | gdkWindowToplevel |
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года
1 апреля 2024 года
1 апреля 2024 года