Trojan-PSW.Win32.Dybalom.ggk

Технические детали

Программа, относящаяся к семейству троянцев, ворующих пароли пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 348360 байт. Упакована при помощи MoleBox. Распакованный размер – около 368 КБ. Написана на C++.

Деструктивная активность

После запуска троянец читает из ресурсов файл конфигурации для своей дальнейшей работы, а затем, в соответствии с установленными значениями выполняет нижеперечисленные действия.

Имеет механизм противодействия отладке и динамическому анализу. Завершает свою работу, если обнаруживает в системе окна с классами имен:

PROCMON_WINDOW_CLASS  gdkWindowToplevel  

Похищает персональные данные об учетных записях из следующих приложений и сервисов:

Microsoft Passport.Net  Google Talk  Trillian  Pidgin  Paltalk  Steam Valve  No-Ip Duc  DynDNS  Mozilla Firefox  Internet Explorer 7/8  Google Chrome  Opera  Internet Download Manager  FileZilla  FlashFXP  SmartFTP  CuteFTP Lite  CuteFTP Home  CuteFTP Pro  

Похищенные данные троянец отправляет на следующий URL адрес:

http://www.m***kakings.com

На момент создания описания указанный адрес не работал.

После этого троянец завершает свою работу.

Также во время работы троянской программы создается файл:

%WorkDir%\<имя_троянской_программы<-up.txt

Который содержит лог работы программы, с помощью которой защищена троянская программа.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл:

   %WorkDir%\<имя_троянской_программы>-up.txt

3. Сменить пароли к скомпрометированным учетным записям.

MD5: 1CF38EA970C8EBDCA48DB1B349CF234B
SHA1: B4B8E60112516B6886994E4D0DFD45D3659619FF