Trojan.PSW.Hooker.F to nowy koń trojański z rodziny PSW, działa on podobnie do słynnych wirusów/robali Happy99, PrettyPark, MTX, rozsyłając się automatycznie pocztą elektroniczną.
Trojan ten instaluje się rezydentnie w systemie, dla utrudnienia zlikwidowania w kilku miejscach:
– pliku win.ini wpisuje w sekcji [windows] swoje wywołanie:
run=C:\WINDOWS\INETD.EXE
lub
run=C:\WINDOWS\HKK32.EXE
– w rejestrach systemu w kluczu:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
wpisuje: „kernel32″=”kern32.exe”
A to wszystko po to, by móc uruchamiać się przy każdym starcie systemu.
Trojan do powielania się używa klasycznego już mechanizmu wysyłania samego siebie jako e-mail z załącznikiem, którym jest właśnie nosiciel trojana. Nazwy tych załączników są losowo wybierane z poniższej listy:
fun.pif
Humor.TXT.pif
docs.scr
s3msong.MP3.pif
Sorry_about_yesterday.DOC.pif
Me_nude.AVI.pif
Card.pif
SETUP.pif
searchURL.scr
YOU_are_FAT!.TXT.pif
hamster.ZIP.scr
news_doc.scr
New_Napster_Site.DOC.scr
README.TXT.pif
images.pif
Pics.ZIP.scr
Po uruchomieniu załącznika trojan rozpakowuje następujące pliki: inetd.exe lub hkk32.exe do katalogu Windows (domyślnie c:\windows) oraz pliki: kern32.exe i hksdll.dll do katalogu systemowego Windows (domyślnie c:\windows\system).
Usunięcie trojana jest proste:
1. należy w trybie DOS (czyli przy nieaktywnych Windows) wyszukać i skasować pliki: inetd.exe, hkk32.exe, kern32.exe, hksdll.dll
2. w pliku win.ini usunąć wpis uruchamiający trojana, czyli linijkę run=C:\WINDOWS\INETD.EXE lub run=C:\WINDOWS\HKK32.EXE zamienić na run=
3. Zaimportować plik rejestru znajdujący się na stronach mks_vir, wydając komendę REGEDIT C:\HOOKER.REG (po uprzednim ściągnięciu pliku hooker.reg z naszego serwera i zapisaniu go w katalogu głównym dysku C)
4. uruchomić ponownie komputer