Троянская программа-шпион. Является приложением Windows (PE EXE-файл).
Инсталляция
После запуска троянец копирует себя в системный каталог Windows со следующими именами:
%System%\LCLASS.EXE %System%\SVCHOTS.EXE
Троянец изменяет значение следующего ключа системного реестра:
[HKCR\exefile\shell\open\command]
"SVCHOTS.EXE WNEpnp "%1" %*"
Что приводит к запуску троянца SVCHOTS.EXE с ключом WNEpnp при запуске EXE-файла, где в качестве параметра передается запускаемое приложение.
Деструктивная активность
Троянец открывает произвольные TCP-, UDP-порты, а также пытается установить соединение посредством механизма низкоуровневого доступа Rawsockets, который обычно не отслеживается файерволами, позволяя получать неограниченный доступ к сетевым ресурсам.
Троянец собирает информацию о пользователе (следит за нажатиями клавиш клавиатуры, делает снимки экрана) и полученную информацию отсылает, используя встроенный SMTP-сервер на mail.e-mails.ru. Троянец подключается к удаленной службе SMTP(TCP:25) узла 89.108.88.50 (mail.e-mails.ru).
Троянец создает файлы с расширением TMP во временном каталоге %temp%.
При попытке запуска приложений с расширением EXE запускается процесс SVCHOTS.EXE, который выводит сообщение об ошибке. После процесс прекращает свое выполнение. Запускаемые файлы не заражаются.
Пройдите по шифрованной тропе информационной безопасности – подпишитесь на наш ТГ-канал!