Trojan-Spy.Win32. Hookit.11

Троянская программа — клавиатурный шпион. Является приложением Windows (PE-EXE файл). Имеет размер 9728 байт. Упакована с помощью UPX. Распакованный размер — около 45 КБ.

Инсталляция

При инсталляции троянец извлекает из ресурсов своего исполняемого файла библиотеку DLL и сохраняет ее в корневом каталоге Windows с именем:

%WinDir%\Hookit.dll

После чего загружает ее.

Для автоматического запуска при следующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "HOoKIt"="<путь до файла троянской программы> /DontStop"

Деструктивная активность

С помощью устанавливаемой в систему библиотеки DLL троянец перехватывает ввод пользователя с клавиатуры в рабочем окне и сохраняет его в файл отчета с именем Oh~Men~, который создается в рабочей папке с троянцем.

В отчет записывается заголовок окна, в котором работал пользователь, последовательность нажатых в этом окне клавиш и время.

Другие названия

Trojan-Spy.Win32.Hookit.11 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Hookit.11 («Лаборатория Касперского»), Trojan Horse (Symantec), Troj/Hookit (Sophos), TrojanSpy:Win32/Hookit.1_1 (RAV), TROJ_HOOKIT.11 (Trend Micro), Trojan.Spy.Hookit.1.1 (SOFTWIN)