Назад

Trojan-Spy

 

 

 

 

 

 

 

 

 

 

(Другое название: Net-Worm)
Шпионская программа. Выполняет под управлением шпионского сервера скрытые действия по установке и запуску нового шпионского ПО, протоколированию действий пользователя, работы приложений и отправки отчетов с помощью протоколов «FTP», «HTTP» или почты на удаленный сервер.
Имеет модификации:
- Trojan-Spy.Win32.Carberp.us;
- Trojan-Spy.Win32.Carberp.acb;
- Trojan-Spy.Win32.Carberp.adw.
После запуска внедряется в адресное пространство проводника, запускает копии системного процесса "SVCHOST.EXE" и внедряет в их адресное пространство свой код или регистрируется библиотекой с помощью процедуры regsvr32.exe.
После внедрения, удаляет запускающую программу и прописывается под случайным именем в автозагрузке.
Далее устанавливает связь с серверной программой и получает от неё инструкции на протоколирование действий текущего пользователя и дальнейшую их отсылку. Может принимать новые файлы для запуска, а также собственного обновления.
Написана на Delphi или C++.

Действия пользователя по нейтрализации шпионской программы.
1. Прервать соединение с Интернет.
2. Удалить файл шпиона из автозагрузки.
3. Очистить временные файлы Интернет.
4. Отменить регистрацию библиотеки со шпионским функционалом с помощью системной утилиты "regsvr32.exe" с параметрами:
/u "<полный путь к файлу шпиона>"
5. Перегрузить компьютер.


Конечно, все эти действия по лечению от вируса может и должна выполнить антивирусная программа, которую вы используете. Ещё лучше, если она блокирует его проникновение.

 


 

Назад

 

 

 

 

 

 

 

 

 

 

 

Copyright © blockfer.ru