Программа, принадлежащая семейству троянцев, похищающих пароли пользователя.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем «%СutToDot%.exe»:
%System%\%СutToDot%.exe
С целью автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "%СutToDot%.task" = "%System%\%СutToDot%.exe"
Также вирус извлекает из своего тела файл «%СutToDot%.dll» и копирует его в системный каталог Windows:
%System%\%СutToDot%.dll
Библиотека имеет размер 5632 байта, детектируется Антивирусом Касперского как Trojan.Win32.Netlog.
Деструктивная активность
Троянская программа перехватывает информацию, которую пользователь вводит с клавиатуры, а также похищает контакты из программы автоматического набора телефонных номеров для клиентов Microsoft (параметры Dial-up соединений).
При подключении зараженного компьютера к сети Интернет вирус отправляет собранные сведения на электронный адрес злоумышленника.
Другие названия
Trojan-PSW.Win32.Kuang.a («Лаборатория Касперского») также известен как: Trojan.PSW.Kuang.a («Лаборатория Касперского»), PWS-BP (McAfee), PWSteal.Trojan (Symantec), Trojan.Kuang (Doctor Web), Troj/Kuang-E (Sophos), Trojan:Win32/Kuang.A (RAV), TROJ_NETLOG.B (Trend Micro), TR/PSW.Kuang.A (H+BEDV), Win95:Kuang (ALWIL), W95/Weird (Grisoft), Trojan.PSW.Kuang.A (SOFTWIN), Trojan.PSW.Kuang.A (ClamAV), Trj/PSW.Kuang.A (Panda), Win32/PSW.Kuang.A (Eset)