Троянец DUNPWS замечен в воровстве логинов и паролей

Trend Micro сообщает о появлении нового троянца «DUNPWS», который может воровать логины и пароли с компьютера-жертвы и посылать их на удаленный компьютер. Trend Micro характеризует, однако, риск инфицирования этим вирусом, как низкий. Другие названия этого вируса: DUNPWS.CK, PWSteal.WinUp, Trojan.PSW.Gip.113.b.

При активизации троянец выводит на дисплей серию анимаций под названием «Impossible Mission» («Миссия невыполнима»). Затем троянец записывает файл WINSYS.EXE в Windows TEMP-директорию. Он также делает некоторые изменения в записях системного реестра (добавляет свои ключи), которые гарантируют запуск троянского файла при следующем запуске системы. После этого оригинальная троянская программа изменяет свой тип из Windows-исполняемого (PE EXE) в DOS-исполняемый файл.

Ключи, записываемые троянцем в системный реестр:

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPoliciesNetwork: added the entry name ▒DisablePwdCaching’

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun : added the entry name ▒Welcome’

HKEY_CURRENT_USERSoftwareMicrosoftWindows added : added the entry names ▒File2′,’ver’ and ▒Pin’

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun : added the entry name ▒Config’

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices : added the entry name ▒Sevice’

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionPoliciesNetwork : added the entry name DisablePwdCaching

HKEY_USERS.DEFAULTSoftwareMicrosoftWindows
CurrentVersionPoliciesNetwork : added the entry name DisablePwdCaching

HKEY_USERS.DEFAULTSoftwareMicrosoftWindows
CurrentVersionRun: added the entry name ▒Welcome’

HKEY_USERS.DEFAULTSoftwareMicrosoftWindows added the entry names : ▒File2′,’ver’ and ▒Pin’

Как побороть троянца

1. Во-первых удалите дроппер — WINSYS.EXE из Windows TEMP-директории;
2. Удалите все добавленные троянцем ключи из системного реестра.
3. Запустите антивирусный сканер и удалите все найденные файлы с именем DUNPWS.