Trojan-Spy.Win32.SCKeyLog.a

Материал из Total Malware Info

Trojan-Spy.Win32.SCKeyLog.a Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 8 704 байтa. Не упакована. Написана на C.

Деструктивная активность

Библиотека троянца предоставляет ряд экспортируемых функций, которые выполняют следующие действия:

Установку перехвата сообщений от клавиатуры и их записи в указанный лог-файл;
Снятие перехвата сообщений;
Ведение записи всех сообщений от клавиатуры в лог-файл;
Запись сообщений об ошибках в лог-файл.

В функции установки перехвата сообщений от клавиатуры происходит инициализация процесса перехвата сообщений от клавиатуры. Ей также передается имя лог-файла "%LogFile%", в который будет производиться протоколирование событий от клавиатуры. Этот файл открывается (или создается, если он до этого не существовал) и в него записываются строки со временем начала сессии, и именем пользователя:

Log started at %день%-%месяц%-%год% %часы%:%минуты%:%секунды%
User name: %UserName%

Кроме этого происходит получение имени компьютера и IP-адреса, которые также сохраняются в этот файл:

Host name : %HostName%
IP-Addresses: %IPadress%

или соответственно записывается следующая строка в случае неудачи:

Failed in call to gethostname, WSAGetLastError returns %ErrorCode%

В функции снятия перехвата сообщений происходит прекращение перехвата сообщений от клавиатуры, а также дописывание в лог-файл сообщения о времени окончания сессии перехвата:

Log stopped at %день%-%месяц%-%год% %часы%:%минуты%:%секунды%

В функции, которая производит ведение записи всех сообщений от клавиатуры в лог-файл, происходит анализ кодов нажатий клавиш и запись в файл названий этих клавиш, а также текста из окна, с которым происходит работа в текущий момент.

Trojan-Spy.Win32.SCKeyLog.a

Материал из Total Malware Info

Деструктивная активность

Рекомендации по удалению

Язык

Навигация

Поиск

Видеокурс