Spyware.SpyBossPro

Признаки:
При запуске создает следующие директории:
* %ProgramFiles%\SBP Demo\projects\temp
* %UserProfile%\Application Data\Microsoft\Installer

Также создает файлы:
* %UserProfile%\Desktop\SpyBoss Pro Demo.lnk
* %UserProfile%\Start Menu\Programs\Gear Box Computers Software\SpyBoss Pro Demo\Readme-Help.lnk
* %UserProfile%\Start Menu\Programs\Gear Box Computers Software\SpyBoss Pro Demo\SpyBoss Pro Demo.lnk
* %ProgramFiles%\SBP Demo\EventScheduler.mdb
* %ProgramFiles%\SBP Demo\Help.rtf
* %ProgramFiles%\SBP Demo\Localization.txt
* %ProgramFiles%\SBP Demo\Localization.xml
* %ProgramFiles%\SBP Demo\projects\[ДАТА] [ВРЕМЯ]\[ДАТА][ВРЕМЯ] SpyBoss Pro by Gear Box Computers.jpg
* %ProgramFiles%\SBP Demo\projects\[ДАТА] [ВРЕМЯ]\[ДАТА][ВРЕМЯ].htm
* %ProgramFiles%\SBP Demo\projects\[ДАТА] [ВРЕМЯ]\caplog[СЛУЧАЙНЫЕ ЦИФРЫ].log
* %ProgramFiles%\SBP Demo\projects\temp.txt
* %ProgramFiles%\SBP Demo\riched32.dll
* %ProgramFiles%\SBP Demo\RunAtStartupTool.exe
* %ProgramFiles%\SBP Demo\SBPDemo.exe
* %ProgramFiles%\SBP Demo\vbalflbr6.dll
* %SystemRoot%\TEMP\SpyBossProDemo.msi
* %Windir%\Installer\[СЛУЧАЙНЫЕ ЦИФРЫ].msi
* %System%\actskn43.ocx
* %System%\dijpg.dll
* %System%\ijl11.dll
* %System%\Memman.vxd
* %System%\skinboxer43.dll

(Примечание: %ProgramFiles% - директория с приложениями по умолчанию, %UserProfile% - директория с профилем и системными данными текущего пользователя, %System% - системная директория Windows, %Windir% - директория, в которую установлен Windows, %SystemRoot% - то же, что и %Windir%).

В реестре создаются следующие подключи:
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SpyBoss Pro
* HKEY_LOCAL_MACHINE\SOFTWARE\Gear Box Computers
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\Modules
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4DA00B90-DFBC-4718-AD53-BD8570394D71}

Через реестр обеспечивает себе автозагрузку:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MSRegScan" = "C:\Program Files\SBP Demo\SBPDemo.exe"


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Шпионская программа для платформы Windows, отправляющая данные по электронной почте.
Производитель: GearBoxComputers.com, название приложения: Spyboss Pro, версия: 4.2.0.0.

Производит следующие шпионские действия:
* Ведет журнал всех нажатых клавиш
* Ведет список всех посещенных веб-сайтов
* Делает снимки экрана через заданный интервал времени
* Шифрует и отсылает данные на указанный адрес электронной почты