Троянец, предназначенный для кражи паролей банковских он-лайн служб.
В процессе установки удаляет ключ системного реестра SOFTWARE\Microsoft\Timer. Помещает руктит Trojan.Hosts.5006(sys) в файл %WINDOWS%\xkkop.sys.
Помещает в папку %systemroot% файл host5 следующего содежания:
scg5gh11
188.XXX.YYY.21 sbrf.ru
188. XXX.YYY.21 www.sbrf.ru
188. XXX.YYY.21 esk.sbrf.ru
188. XXX.YYY.21 www.esk.sbrf.ru
188. XXX.YYY.21 esk.zubsb.ru
188. XXX.YYY.21 www.esk.zubsb.ru
188. XXX.YYY 30 www.click.alfabank.ru
188. XXX.YYY.30 click.alfabank.ru
188. XXX.YYY.30 www.alfabank.ru
188. XXX.YYY.30 alfabank.ru
axfvr5gj7cc
Ищет в запущенных процессах avp.exe, если не находит avp.exe, то регистрирует драйвер с именем mkdrv %WINDOWS%\xkkop.sys, запускает его и удаляет файл первоначального запуска. Если находит, то извлекает из своего тела библиотеку ldr.dll и помещает ее в %systemroot%, после чего прописывает в отвечающую за автозагрузку ветвь системного реестра значение SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce rundll32.exe ldr.dll,Prkt. После рестарта запускается ldr.dll, он в свою очередь удаляет SOFTWARE\Microsoft\Windows\CurrentVersion\Run rundll32.exe=ldr.dll,Prkt, регистрирует драйвер с именем mkdrv %WINDOWS%\xkkop.sys и запускает его. Удаляет файл первоначального запуска при помощи специального bat-файла.
