Trojan-PSW.Win32. QQPass.jf

Троянская программа, предназначенная для кражи паролей пользователя.

Троянская программа, предназначенная для кражи паролей пользователя. Является приложением Windows (PE EXE-файл). Собственной процедуры распространения не имеет. Написана на Borland Delphi. Размер зараженных файлов варьируется в пределах от 32 до 144 КБ.

Инсталляция

При запуске троянец создает в системе процесс с именем «SVOHOST.EXE».

Далее вирус копирует свой исполняемый файл в системный каталог Windows под именем «SVOHOST.exe». Данный файл обладает атрибутами «скрытый» и «системный»:

%System%\SVOHOST.exe

Также троян копирует себя в корневые директории всех логических дисков (за исключением C:) под именем «sxs.exe» и с атрибутом «скрытый». Там же создается скрытый файл «autorun.inf», запускающий «sxs.exe» при открытии логического диска.

Троянская программа генерирует следующий файл:

%System%\winscok.dll

Вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"soundman" = "%System%\SVOHOST.exe"

Также троянец модифицирует ключ реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 
"NoDriveTypeAutoRun" = dword:000000bd

После произведенных операций оригинальный троянский файл удаляется.

Деструктивная активность

Троянец завершает следующие процессы:

sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
regedit.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

Вирус удаляет из ключа автозапуска системного реестра значения:

RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
JQbkgu
Winhoxt

Вредоносная программа похищает сохраненные в системе пароли и отправляет собранную информацию на электронную почту злоумышленника.