CHKLST.RU

Spy.SpyEye

отредактировано Апрель 2016 Раздел: Вирусы & Антивирусы
Win32/Spyeye это троян, который фиксирует нажатия клавиш и крадет логины и пароли с помощью метода, известного как "form grabbing". Win32/Spyeye отправляет собранные данные удаленному атакующему, может загрузить обновления и обладает руткит-компонентой, чтобы скрыть свои вредоносные действия.

При запуске, этот троян вносит следующие изменения в реестр для обеспечения его копия выполняется на каждом старте системы:

В раздел: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Наборы значение: ". EXE"
С данными: ". EXE"

При обнаружении Win32/Spyeye удаляет старые копии из зараженного компьютера.

Для предотвращения обнаружения использует перехваты сервисных API, такие как:

NtQueryDirectoryFile
NtVdmControl
NtEnumerateValueKey
---------------------
Win32/Spyeye пытается собрать следующую информацию, которую затем отправляет на удаленный сервер:

Бот GUID (уникальный идентификатор, связанный с вредоносной программой)
Имя текущего пользователя
имя компьютера
Номер тома
Процесс имя, связанное с захваченных данных
Название перехваченной функции API (например PR_Write)
Нажатие клавиш
Другие сведения, относящиеся к компьютеру языка, такие как:
местное время
часовой пояс
Версия операционной системы
язык

Trojan: Win32/Spyeye может загрузить и запустить обновление для себя или других файлов.
----------
http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Trojan:Win32/Spyeye

Решение проблемы:

пролечить утилиткой от ESET esetspyeyecleaner.exe
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.