Trojan-Spy.Win32.Agent.fa

Trojan-Spy.Win32.Agent.fa («Лаборатория Касперского») также известен как: PWSteal.Flecsip (Symantec), TR/Mserve.A (H+BEDV), Trojan.Keylogger.BQ (ClamAV)

Программа-шпион, предназначенная для кражи конфиденциальной информации. Сохраняет в создаваемый лог-файл логины и пароли вводимые пользователем и отправляет эту информацию злоумышленнику. Является приложением Windows (PE EXE-файл), имеет размер около 45 КБ, ничем не упакована.

При инсталляции троянец копирует себя в системный каталог Windows с именем msserv.exe:

  
  %System%\msserv.exe
  

Затем регистрирует этот файл в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "msserv"="%System%\msserv.exe" 

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец создает файл с именем servms.dll в системном каталоге Windows:

  
  %System%\servms.dll

Троянец отслеживает открытые окна Internet Explorer и сохраняет информацию с открываемых сайтов, а также клавиатурный ввод пользователя в созданный файл servms.dll.

После чего отправляет данный файл на электронный адрес злоумышленника:

  
  u****nker2@yandex.ru