Spyware.Borzoi

Признаки:
При установке создает следующие файлы:
* %UserProfile%\Application Data\Seegh\Borzoi\config.xml
* %UserProfile%\Application Data\Seegh\Borzoi\Session [ДАТА] at [ВРЕМЯ]\report.xml
* %UserProfile%\Application Data\Seegh\Borzoi\Session [ДАТА] at [ВРЕМЯ]\screenshots\[ДАТА] at [ВРЕМЯ].png
* %UserProfile%\Desktop\Borzoi Control Center.lnk
* %ProgramFiles%\Borzoi\adbho.dll
* %ProgramFiles%\Borzoi\adhk.dll
* %ProgramFiles%\Borzoi\adzip.dll
* %ProgramFiles%\Borzoi\bcc.exe
* %ProgramFiles%\Borzoi\blg.exe
* %ProgramFiles%\Borzoi\Borzoi Help.chm
* %ProgramFiles%\Borzoi\buns.exe
* %ProgramFiles%\Borzoi\gdiplus.dll
* %ProgramFiles%\Borzoi\report.xsl
* %Windir%\eSellerateControl365.dll
* %Windir%\eSellerateEngine.dll

(Примечание: %UserProfile% - директория с профилем и системными данными текущего пользователя, %ProgramFiles% - директория по умолчанию для установки приложений, %Windir% - директория, в которую установлена Windows.)

Через реестр обеспечивает себе автозагрузку:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"borzoi" = "C:\Program Files\Borzoi\blg.exe"

В реестре также создает следующие подключи:
* HKEY_CURRENT_USER\Software\Seegh
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{55411323-30E3-4FF7-82E5-E94545B69BAB}
* HKEY_CLASSES_ROOT\CLSID\{C915F573-4C11-4968-9080-29E611FDBE9F}
* HKEY_CLASSES_ROOT\Interface\{40A9417F-F41E-40A2-BAA5-FE0ACB1CF8F8}
* HKEY_CLASSES_ROOT\TypeLib\{169FBBF8-0478-42A4-B386-4F5B2CF9A98B}
* HKEY_CLASSES_ROOT\eSellerateControl.365.1
* HKEY_CLASSES_ROOT\eSellerateControl.365


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Шпионская программа для платформы Windows.
Название: Borzoi, версия: 2.1.0.255, разработчик: Seegh.com.

Производит следующие действия:
* Ведет журнал нажатых клавиш
* Ведет журнал запускаемых приложений
* Сохраняет содержимое Буфера обмена (Clipboard)
* Делает снимки экрана
* Отправляет собранную информацию на заданный адрес электронной почты
* Может быть настроен на регулярный запуск при загрузке Windows или по заданным датам