Троянская программа. Предназначена для кражи конфиденциальной информации.
Является приложением Windows (PE EXE-файл). Написана на языке С++. Размер исполняемого файла — 58410 байт.
Инсталляция
После запуска троянец копирует себя в корневой каталог Windows с оригинальным именем запускаемого файла:
%Windir%\<оригинальное имя троянца>.exe
При этом оригинальный запускаемый файл удаляется.
Чтобы запускаться при старте операционной системы, троянец добавляет ссылку на этот файл в ключи автозапуска системного реестра:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "putil"="%Windir%\<оригинальное имя троянца>.exe"
Троян отображается как процесс <оригинальное имя троянца>.exe в диспетчере задач.
Деструктивная активность
В процессе своей деятельности троянская программа сканирует следующие ветви системного реестра и из соответствующих программ пытается похитить сохраненные пароли:
[HKEY_LOCAL_MACHINE\Software\Ghisler\Total Commander] [HKEY_LOCAL_MACHINE\Software\Ghisler\Windows Commander] [HKEY_LOCAL_MACHINE\Software\Ghisler] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\&RQ] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian] [HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs] [HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ] [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Mirabilis] [HKEY_LOCAL_MACHINE\Software\Miranda] [HKEY_USERS\.Default\Software\Far\Plugins\FTP\Hosts] [HKEY_USERS\.Default\Software\Far\Plugins\FTP] [HKEY_USERS\.Default\Software\Far\Plugins] [HKEY_USERS\.Default\Software\Far] [HKEY_USERS\.Default\Software\Ghisler\Total Commander] [HKEY_USERS\.Default\Software\Ghisler\Windows Commander] [HKEY_USERS\.Default\Software\Microsoft\Internet Account Manager\Accounts] [HKEY_USERS\.Default\Software\Microsoft\Internet Account Manager] [HKEY_USERS\.Default\Software\Mirabilis\ICQ\DefaultPrefs] [HKEY_USERS\.Default\Software\Mirabilis\ICQ\NewOwners] [HKEY_USERS\.Default\Software\Mirabilis\ICQ\NewOwners] [HKEY_USERS\.Default\Software\Mirabilis\ICQ] [HKEY_USERS\.Default\Software\Mirabilis] [HKEY_USERS\.Default\Software\RIT\The Bat!] [HKEY_USERS\.Default\Software\RIT]
Похищенную информацию программа периодически отправляет на электронный адрес злоумышленника.