Trojan-PSW.Win32. SlyDude

Троянская программа, предназначенная для кражи паролей. Является приложением Windows (PE EXE-файл). Имеет размер 10240 байт. Ничем не упакована. Написана на Visual C++.

Инсталляция

При запуске троянец копирует себя в системный каталог Windows с именем «winsys.dll» и создает следующий ключ в реестре:

[HKLM\Software\SlySoft\Sly]

А также добавляет себя в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"winsys" = "winsys.dll"

Таким образом, при каждом последующем старте ОС автоматически запускает троянский файл.

Вирус создает уникальный идентификатор для определения своего присутствия в системе:

slyishere

Деструктивная активность

Данная программа предназначена для скрытого слежения за действиями пользователя на компьютере, а именно за клавиатурным вводом.

Троян соединяется с почтовым сервером и отправляет похищенные сведения на следующий электронный адрес:

****@intertainment.co.za

Другие названия

Trojan-PSW.Win32.SlyDude («Лаборатория Касперского») также известен как: Trojan.PSW.SlyDude («Лаборатория Касперского»), PWS-Z (McAfee), PWSteal.Trojan (Symantec), Troj/Slydude (Sophos), PWS:Win32/SlyDude (RAV), TR/DUNpws.Z (H+BEDV), W32/Backdoor.Slydude (FRISK), Win32:SkuDude (ALWIL), Backdoor.Slydude.A (SOFTWIN), Trojan.DUNpws.Z (ClamAV), Trj/PSW.Slydude (Panda), Win32/PSW.Slydude.A (Eset)