Trojan-Spy.Win32.Small.by

Троянская программа. Представляет собой Windows PE EXE-файл.

Троянская программа. Представляет собой Windows PE EXE-файл. Размер файла — 3584 байта.

Деструктивная активность

Объект предствляет собой клавиатурный шпион. После запуска зараженного файла происходит установка процедуры, перехватывающей нажатия на клавиатуру.

Процедура-перехватчик сохраняет введенную пользователем информацию в файле keylog.txt, расположенном в том же каталоге, что и файл-троянец.

В файле keylog.txt данные сохраняются в следующем виде:


[CURRENT WINDOW TEXT:Title 1]
XXXXXXXXXXXXXXXXXXX
.......................................

[CURRENT WINDOW TEXT:Title n]
ZZZZZZZZZZZZZZZZZZZ

То есть, вначале записывается заголовок окна, в контексте которого происходит ввод данных, а затем введенные пользователем символы.

При смене текущего окна троянец создает новую запись в keylog.txt, отслеживая таким образом ввод во всех окнах.

Троянец остается в памяти в виде процесса. Имя процесса совпадает с именем запускаемого файла.