Security Lab

Trojan-PSW.Win32. QQPass.jf

Trojan-PSW.Win32. QQPass.jf

Троянская программа, предназначенная для кражи паролей пользователя.

Троянская программа, предназначенная для кражи паролей пользователя. Является приложением Windows (PE EXE-файл). Собственной процедуры распространения не имеет. Написана на Borland Delphi. Размер зараженных файлов варьируется в пределах от 32 до 144 КБ.

Инсталляция

При запуске троянец создает в системе процесс с именем «SVOHOST.EXE».

Далее вирус копирует свой исполняемый файл в системный каталог Windows под именем «SVOHOST.exe». Данный файл обладает атрибутами «скрытый» и «системный»:

%System%\SVOHOST.exe

Также троян копирует себя в корневые директории всех логических дисков (за исключением C:) под именем «sxs.exe» и с атрибутом «скрытый». Там же создается скрытый файл «autorun.inf», запускающий «sxs.exe» при открытии логического диска.

Троянская программа генерирует следующий файл:

%System%\winscok.dll

Вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"soundman" = "%System%\SVOHOST.exe"

Также троянец модифицирует ключ реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 
"NoDriveTypeAutoRun" = dword:000000bd

После произведенных операций оригинальный троянский файл удаляется.

Деструктивная активность

Троянец завершает следующие процессы:

  sc.exe
  net.exe
  sc1.exe
  net1.exe
  PFW.exe
  Kav.exe
  KVOL.exe
  KVFW.exe
  TBMon.exe
  kav32.exe
  kvwsc.exe
  CCAPP.exe
  EGHOST.exe
  KRegEx.exe
  kavsvc.exe
  VPTray.exe
  RAVMON.exe
  KavPFW.exe
  SHSTAT.exe
  regedit.exe
  RavTask.exe
  TrojDie.kxp
  Iparmor.exe
  MAILMON.exe
  MCAGENT.exe
  KAVPLUS.exe
  RavMonD.exe
  Rtvscan.exe
  Nvsvc32.exe
  KVMonXP.exe
  Kvsrvxp.exe
  CCenter.exe
  KpopMon.exe
  RfwMain.exe
  KWATCHUI.exe
  MCVSESCN.exe
  MSKAGENT.exe
  kvolself.exe
  KVCenter.kxp
  kavstart.exe
  RAVTIMER.exe
  RRfwMain.exe
  FireTray.exe
  UpdaterUI.exe
  KVSrvXp_1.exe
  RavService.exe
  

Вирус удаляет из ключа автозапуска системного реестра значения:

RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
JQbkgu
Winhoxt

Вредоносная программа похищает сохраненные в системе пароли и отправляет собранную информацию на электронную почту злоумышленника.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь