Троянская программа, которая следит за действиями пользователя в сети Интернет.
Инсталляция
При запуске троянец извлекает из своего тела файл (библиотеку Windows) размером 7680 байт:
%System%\mswapi.dll
Вирус регистрирует данный файл в системе, после чего удаляет свой оригинальный файл.
Указанная библиотека регистрирует себя как Browser Helper Object, создавая при этом соответствующий ключ реестра:
[HKCR\CLSID\{e3a729da-eabc-df50-1842-dfd682644311}]
Деструктивная активность
Будучи подгруженной в процесс «iexplore.exe», троянская библиотека следит за открываемыми пользователем веб-страницами и транслирует на сайт злоумышленника следующую информацию:
* IP-адрес зараженной машины; * посещаемые URL; * заголовки посещаемых страниц; * HTML-содержимое открытых страниц.