На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-PSW

Trojan-PSW.Linage.e


Trojan-PSW.Linage.e

Троян при первом запуске копирует себя в папку Program Files под именем explorer.exe и прописывает себя в автозагрузку классическим способом (ключ реестра Run, параметр LoadMeth1). Размер файла - 48640 байт.

Внутри исполняемого файла (в его хвосте) расположена библиотека, которая при запуске копируется трояном в папку System32 под именем htdll.dll (размер 22528 байт, сжата UPX). Библиотека предназначена для реализации функций кейлоггера (это клавиатурный хук, который ко всему прочему импортирует winsock и судя по всему может передавать собранную информацию напрямую).

Троян может бороться с некоторыми Firewall (например, список exe оригинален - EGHOST.EXE, MAILMON.EXE, KAVPFW.EXE, IPARMOR.EXE). В теле программы содержится шаблон для отправки письма вида: http://www.webshell.cn/tw.asp?tomail...l.cn&mailbody= <письмо>





Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.