Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-PSW.Win32.Small.ae

Celem tego trojana jest kradzież haseł użytkownika. Ma postać pliku PE EXE o rozmiarze 10240 bajtów.

Instalacja

Trojan kopiuje swój plik wykonywalny do foldera systemu Windows:

%System%winsys.dll

W celu zapewnienia sobie automatycznego uruchamiania wraz z każdym startem systemu trojan dodaje odsyłacz do swojego pliku wykonywalnego w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"winsys" = "winsys.dll"

Funkcje szkodnika

Trojan przechwytuje zawartość obszaru, w którym przechowywane są hasła systemowe, poprzez wykorzystywanie nieudokumentowanej funkcji WnetEnumCachedPasswords.

Trojan wysyła przechwycone hasła za pośrednictwem poczty elektronicznej na pocztę e-mail zdalnego szkodliwego użytkownika:

1*****@freemail.co.za

Trojan tworzy również następujący klucz rejestru i zapisuje do tego klucza swoją konfigurację:

[HKLMSOFTWARESlySoft]

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu szkodliwego programu.
  2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujący parametr klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
    "winsys" = "winsys.dll"

  4. Usuń następujący klucz rejestru systemowego:

    [HKLMSOFTWARESlySoft]

  5. Usuń następujący plik:
    %System%winsys.dll
    
  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).
PWS-Z (McAfee),   PWSteal.Trojan (Symantec),   TR/DUNpws.Z (H+BEDV),   Trojan.Pws.Z (SOFTWIN),   Trojan.DUNpws.Z (ClamAV)