Trojan-Spy.Win32. VB.oq

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 28672 байта. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows под именем «scsrss.exe»:

%WinDir%\scsrss.exe

С целью автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на этот файл в ключ автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "scsrss.exe" = "%WinDir%\scsrss.exe"
  

Деструктивная активность

Троянец отслеживает содержимое буфера обмена. Полученные данные в специальном запросе отправляются на сайт злоумышленника:

http://www.****isimo.gratishost.com