Троянец Dazheb собирает конфиденциальную информацию

Троян Dazheb пытается получить различную конфиденциальную информацию о зараженных компьютерах.

Троянец Dazheb в первую очередь стремится получить сетевые параметры, установленные для модемных подключений к Интернету. Он также имеет компонент мониторинга клавиатуры и может украсть информацию из Yahoo Instant Messenger. Троянец пересылает собранные данные на заранее определенный адрес электронной почты. В некоторых случаях Дажеб также скачивает файл из Интернета.

При запуске троян Dazheb выполняет следующие действия:

1. Скопируйте себя в системный каталог Windows как Init32.exe.

2. Регистрационная база данных
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ {6M8A6G00-3I18-5-24-1360}
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\ {6M8A6G00-3I18-5-24-1360}
добавляет к вашим ключам
«StubPath» = «%System%\Init32.exe».

3. Запустите процесс с одним из следующих имен:
Svchost
Rundll
исследователь
Обновление ПО
Нортон
MacAfee

4. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ system
добавляет к твоему ключу
«DisableRegistryTools» = «1»
Значения «DisableTaskMgr» = «1».
Это делает недоступными редактор реестра и диспетчер задач.

5. В некоторых случаях вы откроете окно сообщения и загрузите файл из Интернета.

6. Зарегистрируйте следующее:
- нажатия клавиш
- изменения в регистрационной базе
- пароли Yahoo IM

7. Отправьте файл Rasphone.pbk, содержащий собранную информацию, на заранее определенный адрес электронной почты.