Trojan-Spy.Win32.Agent.fa

Технические детали

Программа-шпион, предназначенная для кражи конфиденциальной информации. Сохраняет в создаваемый лог-файл логины и пароли вводимые пользователем и отправляет эту информацию злоумышленнику. Является приложением Windows (PE EXE-файл), имеет размер около 45 КБ, ничем не упакована.

При инсталляции троянец копирует себя в системный каталог Windows с именем msserv.exe:

%System%\msserv.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "msserv"="%System%\msserv.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец создает файл с именем servms.dll в системном каталоге Windows:

%System%\servms.dll

Троянец отслеживает открытые окна Internet Explorer и сохраняет информацию с открываемых сайтов, а также клавиатурный ввод пользователя в созданный файл servms.dll.

После чего отправляет данный файл на электронный адрес злоумышленника:

u****nker2@yandex.ru