Trojan-Spy. Win32.ILL
Программа-шпион, предназначенная для кражи конфиденциальной информации.
| name="doc3">Деструктивная активность |
Троянская программа запускается только на операционных системах Windows 9x.
При запуске троянская программа проверяет, не запущена ли другая копия этой программы через функцию CreateFileMapping. Если другая копия уже запущена, то троянец выдает следующее сообщение и завершает свою работу:
В случае ошибки выполнения функции CreateFileMapping программа также завершается, выводя на экран следующее сообщение:
При инсталляции троянская программа копирует себя в системный каталог Windows с именем Regback.exe:
После чего регистрирует себя в ключе автозапуска системного реестра:
"RegistryBackup"="Regback.exe"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Троянец создаёт каталог %System%\regback, в который записывает файлы с именами <месяц>.<число>.ILL, в которые записывает заголовок активного окна и нажатые на клавиатуре клавиши.
| Другие названия |
Большой брат следит за вами, но мы знаем, как остановить его