Trojan-Spy.Win32. PcGhost.413

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Написана на Delphi. Имеет размер 275456 байт.

Инсталляция

Троянец инсталлируется в систему посредством других вредоносных программ.

Конфигурируется при помощи конструктора троянских программ-шпионов.

При запуске сконфигурированный файл загружает библиотеку «pcmsg.dll», которая является частью шпионской системы и используется для установки ловушки с целью перехвата сообщений в ОС.

Троянец создает ключ в системном реестре:

  [HKLM\Software\Sun\pcGhost]

Проверяется наличие следующего значения в ключе автозапуска:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"PcGhost"

Вирус создает уникальный идентификатор для определения своего присутствия в системе:

pcGhost

Деструктивная активность

Данная программа предназначена для скрытого слежения за пользовательскими операциями на компьютере.

Троянец выполняет следующие действия:

      * делает снимки экрана;
      * ведет лог клавиатурного ввода;
      * следит за перемещениями курсора мыши;
      * осуществляет учет посещаемых сайтов;
      * производит мониторинг компьютеров в сети, на которые заходил пользователь;
      * имеет возможность указания конкретного окна для слежения.
  

Все собранные данные троянская программа отсылает на электронный почтовый ящик, указанный злоумышленником.

Другие названия

Trojan-Spy.Win32.PcGhost.413 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.PcGhost.413 («Лаборатория Касперского»), Trojan.PcGhost.413 (Doctor Web), Troj/PcGhost-A (Sophos), TrojanSpy:Win32/pcGhost.4_13 (RAV), TROJ_PCGHOST.413 (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Spy.PCGhost.4.1.3 (SOFTWIN), Trj/Spy.PcGhost.A (Panda), Win32/Spy.pcGhost.413 (Eset)