Trojan.PWS.Stealer.23732

SHA1:

1c1e9e653f0ff4d84d2f69625668855ec290ca36 (autoit)
849784d60b2c578ca0c15aafa4076954b0449a44 (app.exe)
28956e86ad000d8ec470e69f3c13f93924193ed9 (scanner.exe)
48f977787a76752ce869b9eb590b1999f6151230 (cloud.exe)

Троянец-шпион для устройств, работающих под управлением Microsoft Windows.

Дроппер

Написан на языке сценариев Autoit. Сохраняет на диск и запускает следующие файлы:

app.exe
scanner.exe
cloud.exe
w9xpopen.exe

app.exe

Сценарий на языке Python, трансформированный в исполняемый файл с помощью py2exe. В целом идентичен троянцу Trojan.PWS.Stealer.23700, однако:

не выполняет поиск папок установки браузеров, а извлекает пути из файлов LOGINSDATALIST.txt и COOKIEDATALIST.txt, которые формируются модулем scanner.exe;
не формирует ZIP-архив с похищенными файлами;
самостоятельно не отправляет данные на pcloud.

scanner.exe

Модуль, написанный на языке Go. Сканирует диски в поисках путей к папкам, где хранятся базы паролей и файлы cookies браузеров на основе Chromium. Обнаруженные пути записывает в файлы LOGINSDATALIST.txt и COOKIEDATALIST.txt соответственно.

cloud.exe

Модуль, формирующий ZIP-архив с похищенными файлами и данными. Получает IP-адрес инфицированного устройства, отправляя запрос на сервис http://checkip.amazonaws.com, после чего загружает архив на зарегистрированный злоумышленниками аккаунт в сервисе pcloud.com.

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android