Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя.
Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 120359 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 133 КБ. Написана на C++.
Создает копию своего файла со случайным именем в каталоге автозапуска Windows:
%UserProfile%\Start Menu\Programs\Startup\<rnd>.exe<rnd> - набор из букв латинского алфавита и цифр, например, "3iik3ug9". Своей копии троянец устанавливает атрибуты "системный" и "архивный".
Троянец запускает легитимные файлы "explorer.exe" и "svchost.exe", после этого внедряет в них свой вредоносный код. При этом троянец модифицирует код легитимных файлов таким образом, что они будут запускать на исполнение внедренный вредоносный код.
Далее троянец удаляет свое оригинальное тело.
Вредоносный код внедренный в процессы выполняет соединение с сервером злоумышленника:
76.76.***.2 123ge***rs.org Getl***an.org Gerc***z.orgи ожидает команды. По команде злоумышленника вредоносный код может:
На момент создания описания троянец загружал свой обновленный файл размером 199168 байт; MD5: 85e054bc0e5b8fc2b908e4879d1dfa9; детектируется Антивирусом Касперского как Net-Worm.Win32.Koobface.jfw.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
%UserProfile%\Start Menu\Programs\Startup\<rnd>.exe
%Temporary Internet Files%
И мы тоже не спим, чтобы держать вас в курсе всех угроз