Trojan-Spy. Win32.ILL

Программа-шпион, предназначенная для кражи конфиденциальной информации.

Программа-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер 4608 байт, ничем не упакована, написана на Ассемблере.
Деструктивная активность

Троянская программа запускается только на операционных системах Windows 9x.

При запуске троянская программа проверяет, не запущена ли другая копия этой программы через функцию CreateFileMapping. Если другая копия уже запущена, то троянец выдает следующее сообщение и завершает свою работу:

В случае ошибки выполнения функции CreateFileMapping программа также завершается, выводя на экран следующее сообщение:

При инсталляции троянская программа копирует себя в системный каталог Windows с именем Regback.exe:

%System%\Regback.exe

После чего регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
 "RegistryBackup"="Regback.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец создаёт каталог %System%\regback, в который записывает файлы с именами <месяц>.<число>.ILL, в которые записывает заголовок активного окна и нажатые на клавиатуре клавиши.

Другие названия
Trojan-Spy.Win32.ILL («Лаборатория Касперского») также известен как: TrojanSpy.Win32.ILL («Лаборатория Касперского»), Keylog-Ill (McAfee),   Trojan Horse (Symantec),   Trojan.Ill.4608 (Doctor Web),   Troj/Ill (Sophos),   TrojanSpy:Win32/ILL (RAV),   TROJ_REGBACK.B (Trend Micro),   TR/IllSpy (H+BEDV),   Win32:Trojan-gen. (ALWIL),   Trojan.Spy.ILL (SOFTWIN),   Trojan Horse (Panda),   Win32/Spy.ILL.A (Eset)