Hooker – koń trojański

Trojan.PSW.Hooker.F to nowy koń trojański z rodziny PSW, działa on podobnie do słynnych wirusów/robali Happy99, PrettyPark, MTX, rozsyłając się automatycznie pocztą elektroniczną.

Trojan ten instaluje się rezydentnie w systemie, dla utrudnienia zlikwidowania w kilku miejscach:

– pliku win.ini wpisuje w sekcji [windows] swoje wywołanie:

run=C:\WINDOWS\INETD.EXE

lub

run=C:\WINDOWS\HKK32.EXE

– w rejestrach systemu w kluczu:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce

wpisuje: „kernel32″=”kern32.exe”

A to wszystko po to, by móc uruchamiać się przy każdym starcie systemu.

Trojan do powielania się używa klasycznego już mechanizmu wysyłania samego siebie jako e-mail z załącznikiem, którym jest właśnie nosiciel trojana. Nazwy tych załączników są losowo wybierane z poniższej listy:

fun.pif
Humor.TXT.pif
docs.scr
s3msong.MP3.pif
Sorry_about_yesterday.DOC.pif
Me_nude.AVI.pif
Card.pif
SETUP.pif
searchURL.scr
YOU_are_FAT!.TXT.pif
hamster.ZIP.scr
news_doc.scr
New_Napster_Site.DOC.scr
README.TXT.pif
images.pif
Pics.ZIP.scr

Po uruchomieniu załącznika trojan rozpakowuje następujące pliki: inetd.exe lub hkk32.exe do katalogu Windows (domyślnie c:\windows) oraz pliki: kern32.exe i hksdll.dll do katalogu systemowego Windows (domyślnie c:\windows\system).

Usunięcie trojana jest proste:

1. należy w trybie DOS (czyli przy nieaktywnych Windows) wyszukać i skasować pliki: inetd.exe, hkk32.exe, kern32.exe, hksdll.dll

2. w pliku win.ini usunąć wpis uruchamiający trojana, czyli linijkę run=C:\WINDOWS\INETD.EXE lub run=C:\WINDOWS\HKK32.EXE zamienić na run=

3. Zaimportować plik rejestru znajdujący się na stronach mks_vir, wydając komendę REGEDIT C:\HOOKER.REG (po uprzednim ściągnięciu pliku hooker.reg z naszego serwera i zapisaniu go w katalogu głównym dysku C)

4. uruchomić ponownie komputer