Trojan-Spy.Win32. Janet.420

Троянская программа, предназначенная для захвата вводимой пользователем с клавиатуры информации. Является приложением Windows (PE EXE-файл). Имеет размер 427008 байт.

Инсталляция

При запуске программа копирует свой исполняемый файлы в системную папку Windows с именем:

%System%\win2k2.exe

Для автоматического запуска при следующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
 "load"="%System%\win2k2.exe"

Деструктивная активность

При запуске троянец выполняет следующие действия:

* получает все сохраненные в системе пароли с помощью вызова недокументированной функции WNetEnumCachedPasswords;

* следит за нажатиями на клавиши в окнах, с которыми работает пользователь, а также получает текст, вводимый пользователем в полях ввода. Собранные данные записывает в файл отчета:

      %WinDir%\winlog.dat

Отчет является HTML-документом, в который записываются заголовки окон, с которыми работал пользователь и последовательности нажатых в них клавиш.

* все собранные троянцем данные отсылаются на электронную почту злоумышленника:

      *****web@gem.net.pk

В отчет также помещается IP-адрес зараженного компьютера.

Другие названия

Trojan-Spy.Win32.Janet.420 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Janet.420 («Лаборатория Касперского»), Keylog-JanNet (McAfee), Trojan Horse (Symantec), Trojan.Jannet.42 (Doctor Web), Troj/KeyJanet-A (Sophos), TrojanSpy:Win32/Janet.4_20 (RAV), TROJ_PSWJANET.42 (Trend Micro), TR/JanetSpy.420.C (H+BEDV), Win32:Trojan-gen. (ALWIL), Janet (Grisoft), Trojan.Spy.Janet.4.20 (SOFTWIN), Trj/Spy.Janet.420 (Panda), Win32/Spy.Janet.420.A (Eset)