Spyware.PornCleanser

Новости

Тип:

Spyware Spyware - «шпионское программное обеспечение» - вредоносные программы, выполняющие «шпионские функции» - сбор и отправку информации - паролей, ввода с клавиатуры, конфиденциальных файлов и др. К spyware относят трояны, выполняющие вышеописанные действия, а также обычные приложения, выполняющие несанкционированные действия, например, сбор информации о поведении пользователя в маркетинговых целях. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

-

Признаки

При запуске создает следующие файлы:

  • %UserProfile%\Local Settings\Temp\[СЛУЧАЙНОЕ_ИМЯ].tmp
  • C:\Documents and Settings\All Users\Desktop\PC 2008.lnk
  • C:\Documents and Settings\All Users\Start Menu\Programs\PC\PC 2008 on the Web.url
  • C:\Documents and Settings\All Users\Start Menu\Programs\PC\PC 2008.lnk
  • C:\Documents and Settings\All Users\Start Menu\Programs\PC\Remove PC 2008.lnk
  • %ProgramFiles%\PC\asycfilt.DLL
  • %ProgramFiles%\PC\COMCAT.DLL
  • %ProgramFiles%\PC\COMCTL32.OCX
  • %ProgramFiles%\PC\COMDLG32.OCX
  • %ProgramFiles%\PC\data\AllowedSites.txt
  • %ProgramFiles%\PC\data\Applications.txt
  • %ProgramFiles%\PC\data\BlockSites.txt
  • %ProgramFiles%\PC\data\keywords.txt
  • %ProgramFiles%\PC\endkeylog.exe
  • %ProgramFiles%\PC\iea.exe
  • %ProgramFiles%\PC\IEEvents.ctl
  • %ProgramFiles%\PC\ListPrivileges.txt
  • %ProgramFiles%\PC\logs\media\blockedmedia.txt
  • %ProgramFiles%\PC\logs\savepictures\[СЛУЧАЙНОЕ_ИМЯ].bmp
  • %ProgramFiles%\PC\logs\screenspy\[СЛУЧАЙНОЕ_ИМЯ].bmp
  • %ProgramFiles%\PC\logs\urls\visitedurl.txt
  • %ProgramFiles%\PC\msdirectx.sys
  • %ProgramFiles%\PC\MSFLXGRD.OCX
  • %ProgramFiles%\PC\msvbvm60.dll
  • %ProgramFiles%\PC\oleaut32.DLL
  • %ProgramFiles%\PC\olepro32.DLL
  • %ProgramFiles%\PC\remove.exe
  • %ProgramFiles%\PC\resiea.res
  • %ProgramFiles%\PC\stdole2.tlb
  • %ProgramFiles%\PC\svchosts.exe
  • %ProgramFiles%\PC\sysstray.exe
  • %ProgramFiles%\PC\TABCTL32.OCX
  • %ProgramFiles%\PC\unins000.dat
  • %ProgramFiles%\PC\unins000.exe
  • %ProgramFiles%\PC\Urlhist.tlb
  • %ProgramFiles%\PC\VB6STKIT.DLL
  • %ProgramFiles%\PC\vbscript.dll
  • %ProgramFiles%\PC\web\stoppage.html
  • %ProgramFiles%\PC\web\stoppage2.html
  • %ProgramFiles%\PC\web\stoppage3.html
  • %ProgramFiles%\PC\wndrivers.dat
  • %ProgramFiles%\PC\WORDPAD.EXE
  • %SystemDrive%\keylog.rtf
  • %SystemDrive%\tmptmp.exe

Примечание: %ProgramFiles% - директория Windows для приложений, %SystemDrive% - системный диск.

Через реестр обеспечивает себе автозагрузку при старте Windows:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Service Host” = “C:\Program Files\PC\svchosts.exe”

Создает следующие подключи:

  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\PornCleanser
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\PornCleanser\Settings
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\PornCleanser\Startup

При попытке посещения запрещенных (заблокированных программой) саайтов, перенаправляетпользователя на www.pcleanser.com/xcxno/stoppage.html

Программа продается через сайт www.lockthemdown.com.

ЗАЩИТА

Для удаления программы воспользуйтесь антивирусом, содержащим в базе ее определение. Затем следует вручную удалить/восстановить созданные/измененные программой ключи реестра.

Действие

Шпионская программа для платформы Windows. Крадет конфиденциальную информацию (журнал нажатия клавиш, скриншоты через заданный промежуток времени, список посещаемых веб-сайтов). Также программа может блокировать некоторые веб-сайты. Работает в скрытом режиме, и не может быть обнаружена пользователем.

Данные о программе:
Название: PornCleanser
Разработчик: L.F. Grundy Software Company
Версия: 1.04.2008.