Trojan-PSW.Win32. QQPass.jf

Троянская программа, предназначенная для кражи паролей пользователя.

Троянская программа, предназначенная для кражи паролей пользователя. Является приложением Windows (PE EXE-файл). Собственной процедуры распространения не имеет. Написана на Borland Delphi. Размер зараженных файлов варьируется в пределах от 32 до 144 КБ.

Инсталляция

При запуске троянец создает в системе процесс с именем «SVOHOST.EXE».

Далее вирус копирует свой исполняемый файл в системный каталог Windows под именем «SVOHOST.exe». Данный файл обладает атрибутами «скрытый» и «системный»:

%System%\SVOHOST.exe

Также троян копирует себя в корневые директории всех логических дисков (за исключением C:) под именем «sxs.exe» и с атрибутом «скрытый». Там же создается скрытый файл «autorun.inf», запускающий «sxs.exe» при открытии логического диска.

Троянская программа генерирует следующий файл:

%System%\winscok.dll

Вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"soundman" = "%System%\SVOHOST.exe"

Также троянец модифицирует ключ реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 
"NoDriveTypeAutoRun" = dword:000000bd

После произведенных операций оригинальный троянский файл удаляется.

Деструктивная активность

Троянец завершает следующие процессы:

 sc.exe
 net.exe
 sc1.exe
 net1.exe
 PFW.exe
 Kav.exe
 KVOL.exe
 KVFW.exe
 TBMon.exe
 kav32.exe
 kvwsc.exe
 CCAPP.exe
 EGHOST.exe
 KRegEx.exe
 kavsvc.exe
 VPTray.exe
 RAVMON.exe
 KavPFW.exe
 SHSTAT.exe
 regedit.exe
 RavTask.exe
 TrojDie.kxp
 Iparmor.exe
 MAILMON.exe
 MCAGENT.exe
 KAVPLUS.exe
 RavMonD.exe
 Rtvscan.exe
 Nvsvc32.exe
 KVMonXP.exe
 Kvsrvxp.exe
 CCenter.exe
 KpopMon.exe
 RfwMain.exe
 KWATCHUI.exe
 MCVSESCN.exe
 MSKAGENT.exe
 kvolself.exe
 KVCenter.kxp
 kavstart.exe
 RAVTIMER.exe
 RRfwMain.exe
 FireTray.exe
 UpdaterUI.exe
 KVSrvXp_1.exe
 RavService.exe
 

Вирус удаляет из ключа автозапуска системного реестра значения:

RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
JQbkgu
Winhoxt

Вредоносная программа похищает сохраненные в системе пароли и отправляет собранную информацию на электронную почту злоумышленника.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.