Троянская программа-шпион, написана на ассемблере под Windows, упакована FSG. Размер файла — 4736 байт.
Троянская программа-шпион, написана на ассемблере под Windows, упакована FSG. Размер файла — 4736 байт.
Инсталляция
Копирует себя в директорию Windows. Добавляет соответствующий ключ в реестр для автозагрузки:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] "OLE"=<имя файла>
Создает в директории Windows динамическую библиотеку с именем HookerDll.Dll и длиной файла 5120 байт.
Действия
Собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из списка:
1mdc 1MDC Banesto Bank of America bank of montreal Bank of Montreal Bank One Bank West bankwest BankWest bendigo Bendigo CAIXA Chase cibc CIBC Citibank commbank Commonwealth desjardins Discover Card e-bendigo e-Bendigo e-bullion e-Bullion e-gold evocash EVOCash EVOcash goldgrams goldmoney GoldMoney hyperwallet HyperWallet intgold INTGold INTgold macquarie Macquarie National Internet Banking NetBank paypal PayPal Pecun!x pecunix Pecunix President Choice president's choice President's Choice Royal Bank royalbank RoyalBank Scotia Bank scotiabank ScotiaBank Sun Trust Suncorp suncorpmetway SunTrust TD Canada Trust TD Waterhouse TD Waterhouse tdwaterhouse Wachovia Washington Mutual Wells Fargo Westpac
Сохраняет их в файл kgn.txt в директории Windows.
Время от времени отсылает лог-файл на e-mail pentasatan@mail.ru.
Собираем и анализируем опыт профессионалов ИБ