Trojan-Spy.Win32. AimSpy

Троянская программа, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 428032 байта. Написана на Delphi.

Инсталляция

Троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32Mgr" = "<путь к исполняемому файлу трояна>"

Таким образом, вирус будет автоматически запускаться при каждом новом старте Windows.

Деструктивная активность

Троянец ищет в системе окна с заголовками класса «aim_imessage» и получает из них контактные данные тех, с кем пользователь ведет переписку.

В этих же окнах производится поиск элементов управления с именами класса «wndate32class», затем — поиск элемента «ate32class» с последующим извлечением из него текста.

Полученный текст троянец записывает в файлы с расширением .HTM и именами, соответствующими именам контактов. Данные файлы сохраняются в той же рабочей папке, где содержится исполняемый файл вируса.

Другие названия

Trojan-Spy.Win32.AimSpy («Лаборатория Касперского») также известен как: TrojanSpy.Win32.AimSpy («Лаборатория Касперского»), PWS-Chalex (McAfee), Trojan Horse (Symantec), Trojan.Aimspy (Doctor Web), Troj/AimSpy (Sophos), TrojanSpy:Win32/AimSpy (RAV), TROJ_AIMSPY.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Win32.Aimspy.A (SOFTWIN), Worm Generic (Panda), Win32/Spy.AimSpy.A (Eset)