Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-Spy.Win32.Iespy.oc.oc

Szkodnik ten jest trojanem. Ma postać pliku PE EXE o rozmiarze 7241 bajtów (kompresja FSG, rozmiar pliku po rozpakowaniu - około 40KB). Powstał przy pomocy języka programowania C++.

Funkcje szkodnika

Trojan wykorzystuje obiekt BHO podczas instalacji.

Podczas uruchamiania trojan wypakowuje ze swojego ciała plik i zapisuje go do foldera systemu Windows z następującą nazwą:

%System%mswapi.dll

Plik ten ma rozmiar 7680 bajtów i jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Spy.Win32.Iespy.sk.

Plik .dll zostanie zarejestrowany przez trojana jako Browser Helper Object. Zostaną stworzone następujące klucze rejestru:

[HKCRCLSID{e3a729da-eabc-df50-1842-dfd682644311}InprocServer32]
"(Default)" = "%System%mswapi.dll"
"ThreadingModel" = "Apartment"
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper
Objects{e3a729da-eabc-df50-1842-dfd682644311}]

Trojan tworzy następnie plik wsadowy w folderze tymczasowym Windows użytkownika bieżącego, uruchamia go w celu wykonania, a następnie kończy swoje działanie. Plik wsadowy usunie zarówno oryginalny plik trojana, jak i samego siebie.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  2. Usuń następujący plik:
    %System%mswapi.dll
    
  3. Usuń następujące klucze rejestru systemowego:

    [HKCRCLSID{e3a729da-eabc-df50-1842-dfd682644311}]
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper
    Objects{e3a729da-eabc-df50-1842-dfd682644311}]

  4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).