Security Lab

Trojan-Spy.Win32. Small.a

Trojan-Spy.Win32. Small.a

Троянская программа, предназначенная для захвата вводимой пользователем с клавиатуры информации.

Троянская программа, предназначенная для захвата вводимой пользователем с клавиатуры информации. Программа является приложением Windows (PE EXE-файл). Имеет размер 4096 байт. Упакована при помощи UPX. Размер распакованного файла — около 15 КБ.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microoft\Windows\CurrentVersion\Run]
"(Default)"="<Путь к исполняемому файлу троянца>"

Деструктивная активность

В своем рабочем каталоге троянец создает следующий файл:

<Рабочий каталог троянца>\<имя исходного файла троянца>.dll

Троянец перехватывает сообщения от клавиатуры и записывает собранную информацию в созданный файл. Собранная информация сохраняется в следующем виде:

Текущая дата
Время запуска троянца
Имя пользователя Имя компьютера
_________________________________________
Текущее время
Заголовок активного окна
Последовательность нажатых в этом окне клавиш

При подключении зараженного компьютера к интернету троянец отправляет всю похищенную информацию на FTP-сервер, адрес которого указан в теле троянца.

Непосредственно для файла троянца и файла, созданного для хранения похищеной информации, устанавливаются атрибуты «Скрытый» и «Системный».

Другие названия

Trojan-Spy.Win32.Small.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Small.a («Лаборатория Касперского»), Keylog-Small (McAfee), Trojan Horse (Symantec), Trojan.ASoft (Doctor Web), Troj/Keylog-H (Sophos), Trojan:Win32/Keylogger.H (RAV), TROJ_SMALL.A (Trend Micro), TR/Small.A (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Keylogger.Hunter (SOFTWIN), Trojan Horse (Panda), Win32/Spy.Small.A (Eset)

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!