Троянская программа — клавиатурный шпион. Является приложением Windows (PE-EXE файл).
Инсталляция
При инсталляции троянец извлекает из ресурсов своего исполняемого файла библиотеку DLL и сохраняет ее в корневом каталоге Windows с именем:
%WinDir%\Hookit.dll
После чего загружает ее.
Для автоматического запуска при следующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HOoKIt"="<путь до файла троянской программы> /DontStop"
Деструктивная активность
С помощью устанавливаемой в систему библиотеки DLL троянец перехватывает ввод пользователя с клавиатуры в рабочем окне и сохраняет его в файл отчета с именем Oh~Men~, который создается в рабочей папке с троянцем.
В отчет записывается заголовок окна, в котором работал пользователь, последовательность нажатых в этом окне клавиш и время.
Другие названия
Trojan-Spy.Win32.Hookit.11 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Hookit.11 («Лаборатория Касперского»), Trojan Horse (Symantec), Troj/Hookit (Sophos), TrojanSpy:Win32/Hookit.1_1 (RAV), TROJ_HOOKIT.11 (Trend Micro), Trojan.Spy.Hookit.1.1 (SOFTWIN)