Trojan-PSW.Win32.Delf.gp

Trojan-PSW.Win32.Delf.gp («Лаборатория Касперского») также известен как: Trojan.PWS.Lineage (Doctor Web), Worm.Mytob.T-2 (ClamAV), Trj/Lineage.KL (Panda)

Троянская программа является приложением Windows (PE EXE-файл). Написана на языке Delphi и имеет размер около 56528 байт. Упакована UPack. Размер распакованного файла — 196608 байт.

Инсталляция

При инсталляции троянец копирует себя в системный каталог Windows с именем Kernel2005.exe:

  %System%\Kernel2005.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   "load"="%System%\Kernel2005.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец создает файл с именем keriebho.dll в системном каталоге Windows:

  
  %System%\keriebho.dll

Вредоносное действие

Троянец собирает различную конфиденциальную информацию с зараженного компьютера (системные пароли, пароли к компьютерным играм, клавиатурный ввод, список запущенных процессов).

Также выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.