Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.
Инсталляция
При запуске троянец копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\W98SYS.EXE
Для автоматической загрузки при каждом следующем старте Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" "="%WinDir%\W98SYS.EXE"
Также троянец извлекает из своего тела следующий файл:
%WinDir%\wdll.dll
Деструктивная активность
Библиотека wdll.dll содержит функции, которые устанавливают перехватчики событий от мыши и клавиатуры с помощью функции SetWindowsHookEx. С помощью установленных перехватчиков библиотека отсылает информацию о нажатиях на клавиши и событиях мыши окну с именем класса «TKeyForm» в сообщениях:
* 0x402 – параметры события мыши * 0x401 – параметры события клавиатуры
Окно класса «TKeyForm» принадлежит приложению %WinDir%\W98SYS.EXE, которое принимает передаваемую от библиотеки информацию, сохраняет ее в своей памяти и периодически отправляет на электронную почту злоумышленника sparc***0@mail.ru, используя в качестве сервера исходящей почты smtp.mail.ru.
Так же троянец пытается завершить следующие процессы:
_AVP32.EXE _AVPCC.EXE _AVPM.EXE AVP32.EXE AVPCC.EXE AVPM.EXE AVP.EXE Pavw.exe Avlite.exe drweb32w.exe drwebupw.exe drwebwcl.exe drweb386.exe SPIDERML.EXE Drwebwcl.exe drweb386.exe SPIDERML.EXE Drwebwcl.exe drwebscd.exe Spider.exe NAVAPW32.EXE NAVW32.EXE ICLOAD95.EXE ICMON.EXE ICSUPP95.EXE ICLOADNT.EXE ICSUPPNT.EXE ANTS.EXE Anti-Trojan.exe iamapp.exe iamserv.exe blackice.exe blackd.exe zonealarm.exe vsmon.exe WrCtrl.exe cleaner3.exe cleaner.exe tca.exe MooLive.exe lockdown2000.exe Sphinx.exe VSHWIN32.EXE VSECOMR.EXE WEBSCANX.EXE AVCONSOL.EXE VSSTAT.EXE
Но доступ к знаниям открыт для всех