Троянская программа, предназначенная для кражи паролей пользователя.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows под оригинальным именем.
Также вирус добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel.Tsk" = "<путь до исполняемого файла трояна>"
Таким образом, троянская программа будет автоматически запускаться при каждом последующем старте ОС.
Деструктивная активность
Троянец похищает все сохраненные в системе пароли с помощью недокументированной функции «WnetEnumCachedPasswords».
Используя перехватчики сообщений от клавиатуры и мыши, вирус похищает текст, введенный в компонентах класса «Edit» в окнах следующих процессов:
Iexplore.exe
thebat.exe
msimn.exe
Собранные данные отправляются на электронную почту злоумышленника:
zim***ov8@mail.ru
Собираем и анализируем опыт профессионалов ИБ