Trojan-Spy.Win32. KeyLogger.be

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры и мыши. Является приложением Windows (PE EXE-файл). Имеет размер 81408 байт.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\W98SYS.EXE

Для автоматической загрузки при каждом следующем старте Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" "="%WinDir%\W98SYS.EXE"

Также троянец извлекает из своего тела следующий файл:

%WinDir%\wdll.dll

Деструктивная активность

Библиотека wdll.dll содержит функции, которые устанавливают перехватчики событий от мыши и клавиатуры с помощью функции SetWindowsHookEx. С помощью установленных перехватчиков библиотека отсылает информацию о нажатиях на клавиши и событиях мыши окну с именем класса «TKeyForm» в сообщениях:

    * 0x402 – параметры события мыши
    * 0x401 – параметры события клавиатуры

Окно класса «TKeyForm» принадлежит приложению %WinDir%\W98SYS.EXE, которое принимает передаваемую от библиотеки информацию, сохраняет ее в своей памяти и периодически отправляет на электронную почту злоумышленника sparc***0@mail.ru, используя в качестве сервера исходящей почты smtp.mail.ru.

Так же троянец пытается завершить следующие процессы:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
Pavw.exe
Avlite.exe
drweb32w.exe
drwebupw.exe
drwebwcl.exe
drweb386.exe
SPIDERML.EXE
Drwebwcl.exe
drweb386.exe
SPIDERML.EXE
Drwebwcl.exe
drwebscd.exe
Spider.exe
NAVAPW32.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
ANTS.EXE
Anti-Trojan.exe
iamapp.exe
iamserv.exe
blackice.exe
blackd.exe
zonealarm.exe
vsmon.exe
WrCtrl.exe
cleaner3.exe
cleaner.exe
tca.exe
MooLive.exe
lockdown2000.exe
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE