Security Lab

Trojan-Spy.Win32. GWGhost.35

Trojan-Spy.Win32. GWGhost.35

Троянская программа. Предназначена для генерации троянцев — клавиатурных шпионов.

Троянская программа. Предназначена для генерации троянцев — клавиатурных шпионов. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Создана в Китае.

Размер файла — 249344 байта. Упакован при помощи ASPack. Размер распакованного файла — около 553 КБ.

Деструктивная активность

При запуске троянская программа запрашивает у пользователя настройки, необходимые для генерации нового троянца.

Основными запрашиваемыми параметрами являются:

* почтовый ящик злоумышленника и пароль к нему;

* SMTP-сервер, логин и пароль для отправки почты;

* интервал отправки перехваченных данных (в минутах);

* интервал, по истечении которого троянец удалит себя с компьютера жертвы (в днях) и пароль на удаление из системы;

* вести ли журнал перехваченных данных на компьютере жертвы и имя файла журнала;

* имя устанавливаемого в систему троянца (в каталоге %System%);

* имя устанавливаемой в систему библиотеки перехвата сообщений от клавиатуры (в каталоге %System%);

* имя параметра ключа реестра используемого для автозапуска установленного троянца.

Троянец может быть сгенерирован и сохранен под заданным именем в заданной папке.

Другие названия

Trojan-Spy.Win32.GWGhost.35 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.GWGhost.35 («Лаборатория Касперского»), PWS-GWGhost.cfg (McAfee), Backdoor.GWGhost (Symantec), TrojanSpy:Win32/GWGhost.3_5 (RAV), Trojan.Spy.GWGhost.3.5 (SOFTWIN)

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!