Trojan-Spy. Win32.KeyHunter

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры и операции с курсором мыши. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Упакована с помощью UPX, распакованный размер – около 15 КБ.

Инсталляция

Для автоматического запуска при каждом последующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"@" = "<путь и имя исполняемого файла троянца>"

Деструктивная активность

Троянская программа устанавливает перехватчик событий клавиатуры, с помощью которого следит за клавиатурным вводом в окнах программ, где работает пользователь. Собранные данные сохраняются в файл отчета, который помещается в рабочую папку вируса с тем же именем, что и его исполняемый файл (имеющий расширение .DLL).

В отчет троянец помещает также заголовки окон, с которыми работал пользователь, и последовательности введенных с клавиатуры символов.

Созданный файл отчета троянец периодически загружает на FTP-сервер.

Другие названия

Trojan-Spy.Win32.KeyHunter («Лаборатория Касперского») также известен как: TrojanSpy.Win32.KeyHunter («Лаборатория Касперского»), Keylogger.Trojan (Symantec), Trojan.KeyHunt (Doctor Web), TrojanSpy:Win32/KeyHunter (RAV), TROJ_KEYHUNTER.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.PWS.Keyhunter.A (SOFTWIN), Trojan Horse.LC (Panda), Win32/Spy.KeyHunter.A (Eset)