Троянская программа, предназначенная для кражи паролей пользователя.
Инсталляция
При запуске троянец создает в системе процесс с именем «SVOHOST.EXE».
Далее вирус копирует свой исполняемый файл в системный каталог Windows под именем «SVOHOST.exe». Данный файл обладает атрибутами «скрытый» и «системный»:
%System%\SVOHOST.exe
Также троян копирует себя в корневые директории всех логических дисков (за исключением C:) под именем «sxs.exe» и с атрибутом «скрытый». Там же создается скрытый файл «autorun.inf», запускающий «sxs.exe» при открытии логического диска.
Троянская программа генерирует следующий файл:
%System%\winscok.dll
Вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"soundman" = "%System%\SVOHOST.exe"
Также троянец модифицирует ключ реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = dword:000000bd
После произведенных операций оригинальный троянский файл удаляется.
Деструктивная активностьТроянец завершает следующие процессы:
sc.exe net.exe sc1.exe net1.exe PFW.exe Kav.exe KVOL.exe KVFW.exe TBMon.exe kav32.exe kvwsc.exe CCAPP.exe EGHOST.exe KRegEx.exe kavsvc.exe VPTray.exe RAVMON.exe KavPFW.exe SHSTAT.exe regedit.exe RavTask.exe TrojDie.kxp Iparmor.exe MAILMON.exe MCAGENT.exe KAVPLUS.exe RavMonD.exe Rtvscan.exe Nvsvc32.exe KVMonXP.exe Kvsrvxp.exe CCenter.exe KpopMon.exe RfwMain.exe KWATCHUI.exe MCVSESCN.exe MSKAGENT.exe kvolself.exe KVCenter.kxp kavstart.exe RAVTIMER.exe RRfwMain.exe FireTray.exe UpdaterUI.exe KVSrvXp_1.exe RavService.exe
Вирус удаляет из ключа автозапуска системного реестра значения:
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
JQbkgu
Winhoxt
Вредоносная программа похищает сохраненные в системе пароли и отправляет собранную информацию на электронную почту злоумышленника.
Лечим цифровую неграмотность без побочных эффектов