Trojan-PSW.Win32.Hooker

Дата обнаружения 25/11/2001
Класс Trojan-PSW
Платформа Win32
Описание

Technical Details

Эта программа относится к семейству «троянских коней», ворующих системные пароли.

При запуске троянец инсталлирует себя в систему: копирует в главный каталог Windows или в системный каталог Windows и регистрирует в системном реестре в секции авто-запуска. Например:

Имя файла-троянца:

WINDOWSSYSTEMkernel32.exe

Ключ реестра:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
 «kernel32″=»kernel32.exe»

Имя файла-троянца, каталог установки (Windows или WindowsSYSTEM) и ключ реестра являются опциональными и могут быть изменены злоумышленником перед рассылкой троянского файла. Все эти значения хранятся в конце троянского файла в зашифрованном виде.

Троянец затем регистрирует себя как скрытое приложение (сервис) и невидим в списке задач. Троянец также создает дополнительный DLL-файл, основной задачей которого является слежение за текстом, который пользователь набирает на клавиатуре.

Троянец периодически отсылает собранную информацию на электронный адрес злоумышленника (этот адрес также опционален). Сообщения троянца содержат: имя компьютера и его адрес в Сети, RAS-информацию, логины и пароли доступа
в сеть и также строки, которые пользователь вводил на клавиатуре.