Trojan-Spy.Win32. PcLog.510

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 363520 байт. Упакована при помощи PECompact. Размер распакованного файла — около 930 КБ. Написана на Delphi.

Инсталляция

Троянец создает папку «%Program Files%/pclog», в которую копирует все свои файлы: «pclog.exe» (клиент шпионской системы, имеет размер 334336 байт), «pcsrv.exe» (троянский сервер размером 249856 байт), «pcmsg.dll» (библиотека, используемая для установки ловушки с целью перехвата сообщений в системе, 55808 байт).

Вирус создает следующие ключи в реестре:

  [HKLM\Software\Sun\pcLog]
  [HKLM\Software\Sun\pcSrv]

А также добавляет себя в ключ автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "PcSrv"

Деструктивная активность

Троянская программа предназначена для скрытого слежения за работой пользователя на зараженном компьютере. Может выполнять действия следующего характера:

    * делать снимки экрана;
    * вести лог клавиатурного ввода;
    * следить за перемещениями курсора мыши;
    * производить учет посещаемых сайтов;
    * указывать конкретное окно для слежения.

Все собранные данные шпион отсылает на электронный почтовый ящик, указанный злоумышленником.

Троянец может быть сконфигурирован.

Другие названия

Trojan-Spy.Win32.PcLog.510 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.PcLog.510 («Лаборатория Касперского»), Trojan Horse (Symantec), Troj/PcLog (Sophos), TrojanSpy:Win32/PcLog.5_10 (RAV), TROJ_PCLOG.510 (Trend Micro), Trojan.Spy.PCLog.5.1.0 (SOFTWIN), Trojan Horse.LC (Panda), Win32/Spy.PcLog.510 (Eset) Описание опубликовано 30 мар 2007