Trojan-Spy.Win32. Luzia.ad

Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 164864 байта. Упакована с помощью PECompact. Распакованный размер — около 680 КБ. Написана на C++.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системную папку Windows:

%System%\winmgmt32.exe

Для автоматического запуска при следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "winmgmt32.exe"="%System%\winmgmt32.exe"

Деструктивная активность

Троянец завершает работу следующих процессов:

  accwiz32.exe
  ahui32.exe
  ahui32.exe
  ashserven.exe
  avgshserven.exe
  bluetooth.exe
  cmd32.exe
  directsnd.exe
  dxdiag32.exe
  dxdiags.exe
  dxdrv.exe
  iexplorer.com
  iexplorer.exe
  msn_explorer.exe
  msnscr.exe
  spolsv.exe
  spolsv.scr
  svghosts.exe
  system32.exe
  terraxp.exe
  winlogon32.exe
  winmgmt.exe
  winplay.exe
  wscntfy.exe
  wupdmgr32.exe

Троянец следит за клавиатурным вводом пользователя в окнах, список заголовков которых хранится внутри тела троянца в зашифрованном виде. Отчеты, содержащие последовательности нажимаемых пользователем клавиш, троянец сохраняет в папку %System%\winmgmt32 с именами вида: dmY-HMS, где dmY — дата создания файла отчета, HMS — время создания файла отчета.

Также троянец периодически делает скриншоты окон (с расширением .jpg), находящихся под курсором мыши и сохраняет их в папку:

  %System%\winmgmt32
  

Далее троянец загружает все файлы, находящиеся в папке "%System%\winmgmt32" на FTP сервер злоумышленника:

 
Bonege***.serveftp.com