Worm: Win32/Taterf.B

Описание:
Worm:Win32/Taterf.B это вредоносная программа распространяющийся через логические диски, предназначенная для кражи пользовательской информации: логины и пароли к аккаунтам популярных онлайн-игр.

Червь Win32/Taterf.B, также известен как:

Win32/Frethog.CUM (CA)
W32/Lineage.KHE (Panda)
Mal/Frethog-B (Sophos)
Trojan-GameThief.Win32.Magania.ammv (Kaspersky)
Generic PWS.ak (McAfee)
Infostealer.Gampass (Symantec)

Тип вредоносной программы:
Червь-Троян

ОС подверженные заражению:
Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows 2000

Уровень опасности:
высокий

Технические детали:
Узнать если Ваш компьютер заражен, можно двумя способами:

1. Проверить наличие файлов:
%System%\kamsoft.exe
%System%\gasretyw.dll

2. Проверить, содержится ли в ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
строку %System%\kamsoft.exe со значением kamsoft
где, %System% это системный каталог Windows, а - случайная цифра от 0 до 9

Программа червя состоит из двух разных компонентов:
1. kamsoft.exe - активизирует червя и копирует файлы в системный фолдер, присваивая компонентам атрибуты "только для чтения" (read only), "скрытый" (hidden) и "системный" (system). Дальше, для того что при каждой загрузке компьютера запускался и троян, изменяет ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

добавляя строку %System%\kamsoft.exe со значением "kamsoft"
Затем, он внедряет в процессе "explorer.exe" второй компонент gasretyw.dll и пытается скопировать файлы m9ma.exe и autorun.inf в корень всех дисков от C:\ до Z:\.

А для того чтобы убедиться, что Автозапуск включён, может изменить следующий раздел реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
добавляя строку "NoDriveTypeAutoRun" со значением "00000091"

2. gasretyw.dll - деструктивный компонент, пытается остановить режим защиты в реальном времени антивирусных продуктов Kaspersky и Rising

Дальше, чтобы избежать обнаружения, добавляет следующие записи в реестре:

1.
строка: "CheckedValue"
значение: "0"
ключ: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

2.
строка:"Hidden"
значение: "2"
ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

3.
строка: "ShowSuperHidden"
значение: "0"
ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Крадет логины и пароли, путем "наблюдения" за системой, в частности, за следующими процессами:

pol.exe
ageofconan.exe
coc.exe
knightonline.exe
lotroclient.exe
turbinelauncher.exe

Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра и файлы, созданные вредоносной программой

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.