Trojan-PSW.Win32.WebMoner.hh

Технические детали

Вредоносная программа, предназначенная для кражи конфиденциальной информации от финансовой системы WebMoney.

Инсталляция

При запуске программа извлекает из себя и копирует в системный каталог Windows вредононый файл:

%System%\msvcrt57.dll

Для автоматического запуска при открытии пользователем любого файла на компьютере программа создает следующие ключи реестра:

Деструктивная активность

Программа перехватывает логины и пароли программы WebMoney. В случае успешного перехвата, программа скачивает интернет страницу http://www.icq.com/people/full_details_show.php?uin=***2462, на которой указаны данные одного из пользователей программы icq.

Далее программа расшифровывает полученные данные и извлекает из них следующую информацию:

• Адрес интернет страницы, на которую программа должна отправить похищенные данные.
• Адрес файла в интеренете, который программа впоследствии должна скачать и запустить.

После этого программа отправляет похищенные данные на полученный адрес и скачивает и запускает файл по полученному адресу

На момент составления описания на указанной выше странице в зашифрованном виде находились следующие адреса:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить следующие значения ключей системного реестра:
   [HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] @="D:\\WINDOWS\\system32\\msvcrt57.dll"
2. Перезагрузить компьютер.
3. Удалить файл, созданный троянцем:

   %System%\msvcrt57.dll

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).