Тип вируса: Вредоносная программа для похищения паролей к банковским системам
Уязвимые ОС: Win NT-based
Размер: примерно 8 - 50 Кбайт
Упакован: FSG, UPX, PECRYPT, MEW
- Обычно устанавливается с помощью либо загрузчиков, либо инсталляторов (дропперов).
- При своём запуске, в зависимости от модификации, используют следующие механизмы инфицирования системы:
1) Устанавливает динамическую библиотеку, модифицируя при этом исполняемый файл Internet Explorer (iexplore.exe - c:\Program Files\Internet Explorer\). Таким образом, загрузка библиотеки будет автоматически происходить при запуске Internet Explorer.
2) Устанавливает в системный каталог Winsdows (%systemroot%\system32) динамическую библиотеку (без модификации исполняемого файла Internet Explorer) и драйвер для сокрытия своего присутствия в инфицированной системе.
- Для обсеспечения своей загрузки при кадом старте Windows, регистрирует устанавливаемую библиотеку в системном реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs: "[path-to-egold-dll]"
- Перехватывает HTTP-запросы, отслеживая при этом обращения к аккаунтам различных банковских систем, список которых находится в теле Trojan.PWS.Egold. Похищенную информацию отсылает злоумышленнику.
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Восстановить исходный исполняемый файл Internet Explorer с установочного компакт-диска Windows.