Другие модификации: .bc, .bh, .bv, .ed, .lg, .mc, .vw
Технические детали
Троянская программа, выполняющая вредоносные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 23552 байта.
Инсталляция
Троянец копирует свой исполняемый файл как:
%WinDir%/system/svhost.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"WSVCHO" = "%WinDir%/system/svhost.exe"
Деструктивная активность
Троянец добавляет свой исполняемый файл в список доверенных приложений Windows Firewall.
После чего запускает процесс "iexplore.exe" и внедряет в него свой код.
Пытается завершить следующие процессы:
avesvc.exe
ashdisp.exe
avgrsx.exe
bdss.exe
spider.exe
avp.exe
nod32krn.exe
cclaw.exe
dvpapi.exe
ewidoctrl.exe
mcshield.exe
pavfires.exe
almon.exe
ccapp.exe
pccntmon.exe
fssm32.exe
issvc.exe
vsmon.exe
cpf.exe
ca.exe
tnbutil.exe
avp.exe
mpfservice.exe
npfmsg.exe
outpost.exe
tpsrv.exe
pavfires.exe
kpf4ss.exe
persfw.exe
vsserv.exe
smc.exe
А так же службы следующих антивирусных программ и сетевых фильтров:
AntiVir
Avast Antivirus
AVG Antivirus
BitDefender
Dr.Web
Kaspersky Antivirus
Nod32
Norman
Authentium Antivirus
Ewido Security Suite
McAfee VirusScan
Panda Antivirus/Firewall
Sophos
Symantec/Norton
PC-cillin Antivirus
F-Secure
Norton Personal Firewall
ZoneAlarm
Comodo Firewall
eTrust EZ Firewall
F-Secure Internet Security
Kaspersky Antihacker
McAfee Personal Firewall
Norman Personal Firewall
Outpost Personal Firewall
Panda Internet Seciruty Suite
Panda Anti-Virus/Firewall
Kerio Personal Firewall
Tiny Personal Firewall
BitDefender / Bull Guard Antivirus
Sygate Personal Firewall
Троян пытается похитить пароли к веб-сайтам, сохраненные в кеше следующих браузеров:
Mozilla FireFox
Internet Explorer
А так же пароли и данные учетных записей следующих IM-клиентов:
Trillian Miranda
Yahoo Messenger
MySpace
IM Gaim
Так же троян содержит встроенный клавиатурный шпион и может делать скриншоты рабочего стола пользователя, которые сохраняются во временную папку с именами вида .tmp, где N – некоторое десятичное число.
Собранную информацию троян загружает на сервер злоумышленников:
212.158.160.***
Распространение на съемных носителях
Троянец копирует свой исполняемый файл в корень каждого съемного диска с именем:
X:/wlan.exe, где X – буква раздела
Также вместе со своим исполняемым файлом помещает в корень каждого раздела сопровождающий файл:
X:autorun.inf
который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"WSVCHO" = "%WinDir%/system/svhost.exe"
- Удалить файл:
%WinDir%/system/svhost.exe
- Очистить содержимое папки %Temp%.
- Удалить следующие файлы со всех съемных носителей:
X:/autorun.inf
X:/wlan.exe, где X – буква раздела
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
