Re: Новый ICQ троян
#9
Попросил у
MorfeusJohn'a этого трояна для исследований. Вот что удалось узнать:
При запуске создаются файлы:
c:\windows\explorerr.exe - ворует пароли
c:\windows\svcoost.exe - блокирует систему
для отвода глаз показывается фотка, спрятанная в ресурсах.
Меняется ключ реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
значение параметра Shell меняется с "explorer.exe" на "c:\windows\svcoost.exe"
файл foto35.scr удаляется с помощью временного файла 154.bat (который потом удаляет сам себя)
Читаются файлы, содержащие пароли браузеров и т.д.
C:\WINDOWS\WCX_FTP.INI - настройки ftp-серверов из TotalCommander
C:\DOCUMENTS AND SETTINGS\"ИМЯ_АКТИВНОГО_ПОЛЬЗОВ АТЕЛЯ"\APPLICATION DATA\OPERA\OPERA\PROFILE\WAND.DAT - пароли оперы
C:\DOCUMENTS AND SETTINGS\"ИМЯ_АКТИВНОГО_ПОЛЬЗОВ АТЕЛЯ"\APPLICATION DATA\OPERA\OPERA\MAIL\ACCOUNTS.INI - почта из оперы
C:\DOCUMENTS AND SETTINGS\"ИМЯ_АКТИВНОГО_ПОЛЬЗОВ АТЕЛЯ"\APPLICATION DATA\THUNDERBIRD\PROFILES.INI - почта MozillaThunderbird
Все найденный пароли отправляются по http на адрес
http://v1902.vps.masterhost.ru/
Для тех кто запускал этот вирус
Лечение очень простое - загрузиться с любого Live-CD, подключить реестр заражённого компьютера и изменить в ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
значение параметра Shell на "explorer.exe"
Ну и не забудьте поменять свои пароли