Spy.SpyEye
Win32/Spyeye это троян, который фиксирует нажатия клавиш и крадет логины и пароли с помощью метода, известного как "form grabbing". Win32/Spyeye отправляет собранные данные удаленному атакующему, может загрузить обновления и обладает руткит-компонентой, чтобы скрыть свои вредоносные действия.
При запуске, этот троян вносит следующие изменения в реестр для обеспечения его копия выполняется на каждом старте системы:
В раздел: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Наборы значение: ". EXE"
С данными: ". EXE"
При обнаружении Win32/Spyeye удаляет старые копии из зараженного компьютера.
Для предотвращения обнаружения использует перехваты сервисных API, такие как:
NtQueryDirectoryFile
NtVdmControl
NtEnumerateValueKey
---------------------
Win32/Spyeye пытается собрать следующую информацию, которую затем отправляет на удаленный сервер:
Бот GUID (уникальный идентификатор, связанный с вредоносной программой)
Имя текущего пользователя
имя компьютера
Номер тома
Процесс имя, связанное с захваченных данных
Название перехваченной функции API (например PR_Write)
Нажатие клавиш
Другие сведения, относящиеся к компьютеру языка, такие как:
местное время
часовой пояс
Версия операционной системы
язык
Trojan: Win32/Spyeye может загрузить и запустить обновление для себя или других файлов.
----------
http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Trojan:Win32/Spyeye
Решение проблемы:
пролечить утилиткой от ESET esetspyeyecleaner.exe
При запуске, этот троян вносит следующие изменения в реестр для обеспечения его копия выполняется на каждом старте системы:
В раздел: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Наборы значение: ". EXE"
С данными: ". EXE"
При обнаружении Win32/Spyeye удаляет старые копии из зараженного компьютера.
Для предотвращения обнаружения использует перехваты сервисных API, такие как:
NtQueryDirectoryFile
NtVdmControl
NtEnumerateValueKey
---------------------
Win32/Spyeye пытается собрать следующую информацию, которую затем отправляет на удаленный сервер:
Бот GUID (уникальный идентификатор, связанный с вредоносной программой)
Имя текущего пользователя
имя компьютера
Номер тома
Процесс имя, связанное с захваченных данных
Название перехваченной функции API (например PR_Write)
Нажатие клавиш
Другие сведения, относящиеся к компьютеру языка, такие как:
местное время
часовой пояс
Версия операционной системы
язык
Trojan: Win32/Spyeye может загрузить и запустить обновление для себя или других файлов.
----------
http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Trojan:Win32/Spyeye
Решение проблемы:
пролечить утилиткой от ESET esetspyeyecleaner.exe
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.