Троянская программа-шпион. Похищает конфиденциальную информацию.
Инсталляция
Троянец создает следующие ключи в системном реестре:
[HKCR\Software\Microsoft\microware] [HKLM\Software\stonari]
Для автоматического запуска при каждом последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
Также изменяется значение ключа системного реестра:
[HKCR\exefile\shell\open\command]
"<путь к файлу трояна>%1 %*"
Деструктивная активность
Программа-шпион выполняет снимки с экрана компьютера и следит за нажатиями на кнопки мыши и клавиатурными операциями.
Собранную информацию троянец записывает в файл %System%\setpass.dat и отсылает на электронный почтовый ящик злоумышленника.
Для отправки похищенных сведений используется следующий smtp-сервер:
smtp.163.net
(Троянская программа содержит информацию на китайском языке.)
Другие названия
Trojan-Spy.Win32.Stonari («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Stonari («Лаборатория Касперского»), PWS.Hooker.Trojan (Symantec), Troj/Stonari (Sophos), TrojanSpy:Win32/Stonari (RAV), TROJ_STONARI.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Spy.Stonari.A (SOFTWIN), Trj/Spy.Stonari (Panda), Win32/Spy.Stonari.A (Eset)
Но доступ к знаниям открыт для всех