Security Lab

Trojan-Spy.Win32. KeyLogger.be

Trojan-Spy.Win32. KeyLogger.be

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры и мыши. Является приложением Windows (PE EXE-файл). Имеет размер 81408 байт.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows:

  %WinDir%\W98SYS.EXE

Для автоматической загрузки при каждом следующем старте Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" "="%WinDir%\W98SYS.EXE"

Также троянец извлекает из своего тела следующий файл:

%WinDir%\wdll.dll

Деструктивная активность

Библиотека wdll.dll содержит функции, которые устанавливают перехватчики событий от мыши и клавиатуры с помощью функции SetWindowsHookEx. С помощью установленных перехватчиков библиотека отсылает информацию о нажатиях на клавиши и событиях мыши окну с именем класса «TKeyForm» в сообщениях:

      * 0x402 – параметры события мыши
      * 0x401 – параметры события клавиатуры

Окно класса «TKeyForm» принадлежит приложению %WinDir%\W98SYS.EXE, которое принимает передаваемую от библиотеки информацию, сохраняет ее в своей памяти и периодически отправляет на электронную почту злоумышленника sparc***0@mail.ru, используя в качестве сервера исходящей почты smtp.mail.ru.

Так же троянец пытается завершить следующие процессы:

  _AVP32.EXE
  _AVPCC.EXE
  _AVPM.EXE
  AVP32.EXE
  AVPCC.EXE
  AVPM.EXE
  AVP.EXE
  Pavw.exe
  Avlite.exe
  drweb32w.exe
  drwebupw.exe
  drwebwcl.exe
  drweb386.exe
  SPIDERML.EXE
  Drwebwcl.exe
  drweb386.exe
  SPIDERML.EXE
  Drwebwcl.exe
  drwebscd.exe
  Spider.exe
  NAVAPW32.EXE
  NAVW32.EXE
  ICLOAD95.EXE
  ICMON.EXE
  ICSUPP95.EXE
  ICLOADNT.EXE
  ICSUPPNT.EXE
  ANTS.EXE
  Anti-Trojan.exe
  iamapp.exe
  iamserv.exe
  blackice.exe
  blackd.exe
  zonealarm.exe
  vsmon.exe
  WrCtrl.exe
  cleaner3.exe
  cleaner.exe
  tca.exe
  MooLive.exe
  lockdown2000.exe
  Sphinx.exe
  VSHWIN32.EXE
  VSECOMR.EXE
  WEBSCANX.EXE
  AVCONSOL.EXE
  VSSTAT.EXE

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь