Широко распространненный и популярный публичный троян для кражи паролей браузеров, FTP-клиентов, ICQ-клиентов, и почтовых клиентов. Способен формировать отчёты, содержащие украденную информацию и отсылать злоумышленникам на ftp или по e-mail.
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\FTPWare\CoreFTP\Sites]
- [<HKCU>\Software\Far\Plugins\FTP\Hosts]
- [<HKCU>\Software\Far2\Plugins\FTP\Hosts]
- [<HKCU>\Software\Google\Google Talk\Accounts]
- [<HKLM>\SOFTWARE\FlashFXP]
- [<HKLM>\Software\Ghisler\Total Commander]
- [<HKCU>\Software\Ghisler\Total Commander]
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\report_23-10-2012_00-35-01-11071972-BKNK.bin
- %TEMP%\NO_PWDS_report_23-10-2012_00-35-01-11071972-BKNK.bin
Удаляет следующие файлы:
- %TEMP%\NO_PWDS_report_23-10-2012_00-35-01-11071972-BKNK.bin
Перемещает следующие файлы:
- %TEMP%\report_23-10-2012_00-35-01-11071972-BKNK.bin в %TEMP%\NO_PWDS_report_23-10-2012_00-35-01-11071972-BKNK.bin
Сетевая активность:
Подключается к:
- 'steam-gifts.vv.si':80
TCP:
Запросы HTTP POST:
- steam-gifts.vv.si/gate/ufr.php
UDP:
- DNS ASK steam-gifts.vv.si
