Trojan.PWS.Pogle.3
(TROJ_POGLE.A, Trojan-PSW.Win32.Agent.lr, TR/PSW.Agent.LR, Generic_c.FKD, Trojan.Delf.LP, PWS:Win32/Lmir, Generic PWS.y, TROJ_Generic, W32/PWStealer.BJR, Trojan-PSW.Win32.Delf.lp, TR/Crypt.ASPM.Gen, TR/PSW.LdPinch.bpn, Embedded.Trojan.PWS.LDPinch.1541)
Описание добавлено:
2007-03-05
Тип вируса: Троянская программа
Уязвимые ОС: Win9x/NT/2000/XP/2003
Размер: 1 232 896
Упакован: PECOMPACT, Armadillo, ASProtect
Техническая информация
Написан на Delphi
Распространяется под видом программы QIP Password Reminder v1.6.
Будучи запущенным неосторожным пользователем, создаёт свою копию в %WinDir%\system с именем syshost.exe, которую регистрирует в секции автозапуска системного реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
syshost = "C:\WINDOWS\system\syshost.exe"
Создаёт и запускает также файлы icqpc2.exe (193 536 байт)и p11.exe (157 184 байта), определяемые антивирусом Dr.Web(R) как Trojan.PWS.Pogle.3 и Trojan.PWS.LDPinch.1541 соответственно.
В результате зарегистрированные в системе пароли будут переданы злоумышленнику.
Рекомендации по восстановлению системы
1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
3. Восстановить реестр из резервной копии.
4. Важно! Необходимо сменить все зарегистрированные пароли в системе.
