Trojan-Spy.Win32.Luhn.b

Материал из Total Malware Info

Trojan-Spy.Win32.Luhn.b Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 36 864 байта. Не упакована. Язык написания Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в системный каталог:

%System%\seven.exe

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"(String Registry Value)"="%WinDir%\System\seven.exe"

Для файла "seven.exe" выполняется команда установки атрибутов "системный" и "скрытый":

command.com /c attrib %System%seven.exe +s +h

Деструктивная активность

После инсталляции происходит открытие файла, имя которого генерируется по правилу skhj- %число%- %месяц% -%год%.txt, на дописывание (или происходит создание файла, если такого не обнаружено):

%System%\skhj- %число%- %месяц% -%год%.txt

В этот файл записываются следующие строки, протоколирующие время начала сессии сбора информации о нажатых клавишах:

---=============================================---
This Log Has Been Started At: %Дата% %Время%
---=============================================---

Дальше по событиям от таймера каждые 3 миллисекунды происходит получение состояния клавиатуры, и все нажатые клавиши записывается в файл-лог в виде:

<%спец-клавиша%> или %клавиша%

для функциональных клавиш и алфавитно-цифровых клавиш соответственно. По завершению лога в файл записываются следующие строки:

---=============================================---
This Log Has Been Ended At: %Дата% %Время%
---=============================================---

Trojan-Spy.Win32.Luhn.b

Материал из Total Malware Info

Инсталляция

Деструктивная активность

Рекомендации по удалению

Язык

Навигация

Поиск

Видеокурс