Trojan-Spy.Win32.SCKeyLog.20
Материал из Total Malware Info
Trojan-Spy.Win32.SCKeyLog.20 Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 10 240 байт. Не упакована. Язык написания C++.
Деструктивная активность
Библиотека троянца предоставляет ряд экспортируемых функций, которые выполняют следующие действия:
- Установку начала перехвата сообщений от клавиатуры и мыши.
- Снятие перехвата сообщений.
- Установка параметров перехвата.
- Запись строки события в лог-файл.
- Ряд функций, записывающих информацию о различных событиях в лог-файл.
В функции установки начала перехвата происходит установка функций перехвата на сообщения от клавиатуры (и опционально мыши). При ее выполнении происходит запись строк со временем начала сессии записи и именем пользователя:
Keyboard log started at %день%-%месяц%-%год% %часы%:%минуты%:%секунды% Host (user): %s (%s)
Кроме этого происходит получение IP-адреса, который также сохраняется в этот файл:
IP-Addresses: %IPadress%
В функции снятия перехвата сообщений происходит прекращение перехвата сообщений от клавиатуры и мыши, а также дописывание в лог-файл сообщения о времени окончания сессии перехвата:
Log stopped at at %день%-%месяц%-%год% %часы%:%минуты%:%секунды%
После этого лог-файлу устанавливаются атрибуты "скрытый", "системный", "архивный". В функцию установки параметров перехвата передается имя лог-файла "%KeyLogFile%", в который будет производиться протоколирование событий от клавиатуры. Этот файл открывается для дописывания (или создается, если он до этого не существовал). Также вторым параметром этой функции задается возможность установки параметров перехвата событий от мыши. Троянец предоставляет ряд функций ведущих запись в лог-файл следующих строк (сообщения о событиях):
System locked by user User %UserName% logs off from domain %DomainName% User %UserName% logs on to domain %DomainName% System shutdown System started Screensaver stopped User %UserName% unlocked system
Кроме этого, в функции регистрации сообщения о входе в систему, происходит запуск приложения с именем файла приложения, загрузившего библиотеку "%TrojanFileName%" и расширением .exe:
%TrojanFileName%.exe -r
В функциях перехвата сообщений от клавиатуры и мыши, приходит анализ кодов нажатий клавиш на клавиатуре и событий от мыши, запись их названий в файл, а также текста из окна, с которым происходит работа в текущий момент.
Рекомендации по удалению
- Выгрузить из списка процессов приложение, которое использует библиотеку троянца.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
