Trojan-Spy.Win32. VB.oq

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя.

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 28672 байта. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows под именем «scsrss.exe»:

%WinDir%\scsrss.exe

С целью автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на этот файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"scsrss.exe" = "%WinDir%\scsrss.exe"

Деструктивная активность

Троянец отслеживает содержимое буфера обмена. Полученные данные в специальном запросе отправляются на сайт злоумышленника:

http://www.****isimo.gratishost.com