Trojan-Spy.Win32. Stonari

Троянская программа-шпион. Похищает конфиденциальную информацию. Является приложением Windows (PE EXE-файл). Написана на Borland Delphi. Имеет размер 289280 байт. Упакована при помощи Aspack. Размер распакованного файла — около 704 KБ.

Инсталляция

Троянец создает следующие ключи в системном реестре:

[HKCR\Software\Microsoft\microware]
  [HKLM\Software\stonari]
  

Для автоматического запуска при каждом последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

Также изменяется значение ключа системного реестра:

[HKCR\exefile\shell\open\command]
"<путь к файлу трояна>%1 %*"

Деструктивная активность

Программа-шпион выполняет снимки с экрана компьютера и следит за нажатиями на кнопки мыши и клавиатурными операциями.

Собранную информацию троянец записывает в файл %System%\setpass.dat и отсылает на электронный почтовый ящик злоумышленника.

Для отправки похищенных сведений используется следующий smtp-сервер:

smtp.163.net
(Троянская программа содержит информацию на китайском языке.)

Другие названия

Trojan-Spy.Win32.Stonari («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Stonari («Лаборатория Касперского»), PWS.Hooker.Trojan (Symantec), Troj/Stonari (Sophos), TrojanSpy:Win32/Stonari (RAV), TROJ_STONARI.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Spy.Stonari.A (SOFTWIN), Trj/Spy.Stonari (Panda), Win32/Spy.Stonari.A (Eset)