Это описание создано экспертами «Лаборатории Касперского» эдак будничный содержит наиболее точную информацию о непосредственно в конкретно в этом детектируемом объекте.
Экспертное описаниеАвтоматическое описание
Описание сгенерировано автоматически на основании анализа действий сэмпла этого детектируемого объекта на тестовом индивидуальном персональном компьютере эдак будничный умножать содержать неточную информацию.
Вредоносная программа, предназначенная для похищения пользовательских данных аутентификации. образуется приложением Windows (PE-EXE файл). Имеет размер 6144 байта. Упакована UPX. Распакованный размер – около 12 КБ. написана на C++.
Деструктивная активность
сле запуска вредонос чувствует пребывание в системном реестре ветви:
данный ключ бережет строку, содержащую дорога к файлу некоторой DLL.
Удаляет файл:
YYCtrl.dll
Путь создается из прежде считанной строки алгоритмом удаления последних 14-ти символов.
Извлекает из своего тела файл:
YYCtrl.dll
(4608 байт; детектируется Антивирусом Касперского а уж уж как же "Trojan.Win32.Agent2.dmuw")
Файл создается с атрибутом "скрытый" (hidden).
Модифицирует библиотеку
msvcr71.dll
дописывая в нее код, подгружающий к некоторому процессу извлеченную прежде библиотеку. аналогичным образом, в адресное пространство каких бы то ни было процессов, подгружающих "msvcr71.dll", хватит внедряться эдак будничный вредная библиотека "YYCtrl.dll".
Создает эдак будничный запускает описанный прежде сценарий "c: est.bat", попозже чего завершает свою работу.
Будучи подгруженной в адресное пространство процесса "duospeak.exe" библиотека "YYCtrl.dll" позволяет следить вводимую пользователем информацию в окнах с именами классов:
YYMainWnd
YYLogin
Edit
Собранные данные отправляется в HTTP-запросах на сервера:
124.***.56.12
121.***.13.22
Рекомендации по удалению
Если ваш индивидуальный персональный компьютер перестать работать был защищен антивирусом эдак будничный оказался заражен данной вредоносной программой, то для её удаления надо реализовать надлежащие действия:
После запуска учреждает свои копии под соответствующими именами:
Каталог для хранения временных файлов ОС Windows (обычно, C:Documents and Settings<Имя_текущего_пользователя>Local SettingsTemp)%Temp%Procmon.exe
Вредоносная активность
Создает надлежащие файлы:
c: est.bat
Следующие файлы запускаются на исполнение:
c: est.bat
Прочие действия
Производит запуск следующих файлов (команд):
Каталог для хранения временных файлов ОС Windows (обычно, C:Documents and Settings<Имя_текущего_пользователя>Local SettingsTemp)%Temp%Procmon.exe
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости