Троянская программа. Представляет собой Windows PE EXE-файл.
Деструктивная активность
Объект предствляет собой клавиатурный шпион. После запуска зараженного файла происходит установка процедуры, перехватывающей нажатия на клавиатуру.
Процедура-перехватчик сохраняет введенную пользователем информацию в файле keylog.txt, расположенном в том же каталоге, что и файл-троянец.
В файле keylog.txt данные сохраняются в следующем виде:
[CURRENT WINDOW TEXT:Title 1] XXXXXXXXXXXXXXXXXXX ....................................... [CURRENT WINDOW TEXT:Title n] ZZZZZZZZZZZZZZZZZZZ
То есть, вначале записывается заголовок окна, в контексте которого происходит ввод данных, а затем введенные пользователем символы.
При смене текущего окна троянец создает новую запись в keylog.txt, отслеживая таким образом ввод во всех окнах.
Троянец остается в памяти в виде процесса. Имя процесса совпадает с именем запускаемого файла.