Win32/Fanta.C

Ответ на математический пример, который Вы ввели - неверный.

Другие модификации: .15

Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл). Размер различных модификаций варьируется в пределах от 47 до 215 КБ. Упакована с помощью UPX.
Запуск

При запуске троян копирует себя в системный и корневой каталоги Windows со следующими именами:
%WinDir%\dfhjl.exe %System%\IKMOQ.exe

Для автоматической загрузки при каждом последующем старте Windows вредоносная программа добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shel" l= "Explorer.exe dfhjl.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msgserv_" = "%System%\IKMOQ.exe"

Также троян задает следующие параметры в ключе реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"windows32_" = "%System32%\MOQSU.dll"
"system_" = "%System32%\IKMOQ.exe"
"userfile_" = "dfhjl.exe"

Действие

Используя внешний компонент %System32%\MOQSU.dll, троянская программа устанавливает на клавиатурные события перехватчики, с помощью которых следит за вводом с клавиатуры в окнах, где работает пользователь.

Ещё троян собирает информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти и название операционной системы.

Собранные данные отправляются на электронную почту злоумышленника.
Удаление
При помощи «Диспетчера задач» завершить троянские процессы (предположительные имена — dfhjl.exe и IKMOQ.exe).
Удалить файлы:
%WinDir%\dfhjl.exe %System%\IKMOQ.exe
Изменить значение ключа реестра на:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
Удалить параметр из ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msgserv_" = "%System%\IKMOQ.exe"
Другие названия

Win32/Fanta.C (Eset)

W32/Fanta-A (Sophos)

Win32.Fanat.1.4.A@mm (SOFTWIN)

Worm/Fanta (Grisoft)

Trojan.PSW.Fente.14 («Лаборатория Касперского»)

Win32.HLLM.Fantast.14 (Doctor Web)

PWS-Fantast.c (McAfee)

I- Worm Generic (Panda)

Win32/Fanat.1_4@mm (RAV)

Hacktool.PWS.QQPass (Symantec)

TROJ_FANTAST.14 (Trend Micro)

Win32:Trojan-gen. (ALWIL)

Источник информации stopvirus.ru

Отправить новый комментарий

Пожалуйста решите математический пример выше и заполните результат. (напр для 1+1, введите 2)
Содержимое этого поля хранится скрыто и не будет показываться публично.