Trojan-Spy.Win32. VB.i

Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл).

Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Имеет размер 30208 байт. Упакована при помощи AsPack. Размер распакованного файла — около 70 КБ. Написана на Visual Basic.

Инсталляция

С целью автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"(default)" = "<путь до исполняемого файла троянца>"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"(default)" = "<путь до исполняемого файла троянца>"

Деструктивная активность

При запуске троянец отслеживает нажатия клавиш клавиатуры. Для сохранения данных создает файл отчета «nzlog.txt»:

c:\Program Files\nzlog.txt

Данный троянец не имеет механизма отправки злоумышленнику файла отчета.

Другие названия

Trojan-Spy.Win32.VB.i («Лаборатория Касперского») также известен как: TrojanSpy.Win32.VB.i («Лаборатория Касперского»), Niuzu (McAfee), Backdoor.Trojan (Symantec), Trojan.Nazlog (Doctor Web), TrojanSpy:Win32/VB.I (RAV), TROJ_VB.I (Trend Micro), TR/VB.i (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Spytool.VB.I (SOFTWIN), Trj/W32.Nzlog (Panda), Win32/Spy.VB.I (Eset)