Класс | Trojan-Spy |
Платформа | Win32 |
Описание |
Technical DetailsПрограмма-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер 4608 байт, ничем не упакована, написана на Ассемблере. PayloadТроянская программа запускается только на операционных системах Windows 9x. При запуске троянская программа проверяет, не запущена ли другая копия этой программы через функцию CreateFileMapping. Если другая копия уже запущена, то троянец выдает следующее сообщение и завершает свою работу: ![]() В случае ошибки выполнения функции CreateFileMapping программа также завершается, выводя на экран следующее сообщение: ![]() При инсталляции троянская программа копирует себя в системный каталог Windows с именем Regback.exe: %System%Regback.exe
После чего регистрирует себя в ключе автозапуска системного реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
“RegistryBackup”=”Regback.exe” При каждой следующей загрузке Windows автоматически запустит файл троянца. Троянец создаёт каталог %System%regback, в который записывает файлы с именами <месяц>.<число>.ILL, в которые записывает заголовок активного окна и нажатые на клавиатуре клавиши. Removal instructions
|
Узнай статистику распространения угроз в твоем регионе |