Trojan-Spy.Win32. KeyLogger.be

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры и мыши. Является приложением Windows (PE EXE-файл). Имеет размер 81408 байт.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows:

 %WinDir%\W98SYS.EXE

Для автоматической загрузки при каждом следующем старте Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" "="%WinDir%\W98SYS.EXE"

Также троянец извлекает из своего тела следующий файл:

%WinDir%\wdll.dll

Деструктивная активность

Библиотека wdll.dll содержит функции, которые устанавливают перехватчики событий от мыши и клавиатуры с помощью функции SetWindowsHookEx. С помощью установленных перехватчиков библиотека отсылает информацию о нажатиях на клавиши и событиях мыши окну с именем класса «TKeyForm» в сообщениях:

     * 0x402 – параметры события мыши
     * 0x401 – параметры события клавиатуры

Окно класса «TKeyForm» принадлежит приложению %WinDir%\W98SYS.EXE, которое принимает передаваемую от библиотеки информацию, сохраняет ее в своей памяти и периодически отправляет на электронную почту злоумышленника sparc***0@mail.ru, используя в качестве сервера исходящей почты smtp.mail.ru.

Так же троянец пытается завершить следующие процессы:

 _AVP32.EXE
 _AVPCC.EXE
 _AVPM.EXE
 AVP32.EXE
 AVPCC.EXE
 AVPM.EXE
 AVP.EXE
 Pavw.exe
 Avlite.exe
 drweb32w.exe
 drwebupw.exe
 drwebwcl.exe
 drweb386.exe
 SPIDERML.EXE
 Drwebwcl.exe
 drweb386.exe
 SPIDERML.EXE
 Drwebwcl.exe
 drwebscd.exe
 Spider.exe
 NAVAPW32.EXE
 NAVW32.EXE
 ICLOAD95.EXE
 ICMON.EXE
 ICSUPP95.EXE
 ICLOADNT.EXE
 ICSUPPNT.EXE
 ANTS.EXE
 Anti-Trojan.exe
 iamapp.exe
 iamserv.exe
 blackice.exe
 blackd.exe
 zonealarm.exe
 vsmon.exe
 WrCtrl.exe
 cleaner3.exe
 cleaner.exe
 tca.exe
 MooLive.exe
 lockdown2000.exe
 Sphinx.exe
 VSHWIN32.EXE
 VSECOMR.EXE
 WEBSCANX.EXE
 AVCONSOL.EXE
 VSSTAT.EXE