Вредоносная программа, предназначенная для кражи конфиденциальных данных пользователя.
Вредоносная программа, предназначенная для кражи конфиденциальных данных пользователя.
Инсталляция
При запуске программа извлекает из себя и создает на диске два файла, которые являются частями вредоносной программы и содержат основной вредоносный функционал:
%system%\netprp.dllДля автоматической загрузки динамически подключаемой библиотеки(netprp.dll) в адресное пространство создаваемых процессов, вредоносная программа создает ключ системного реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
%system%\netpr.sys
Notify \netprp]
"Asynchronous"= 1
"DllName" = "netprp"
"Impersonate"= 1
"MaxWait"= 1
"ng950"="[817130DE43D93F323]"
"Startup"="netprp"Также программа регистрирует драйвер netpr.sys как системный сервис.
name="doc3">
Деструктивная активность
Вредоносная программа перехватывает информацию об учётной записи (логины и пароли), которые пользователь вводит на следующих сайтах:
sitekey.bankofamerica.com/sas/verifyImage.doТакже программа ищет на компьютере пароли от почтовых ящиков пользователя в программах The Bat! и Microsoft Office Outlook.
online*.bankofamerica.com/*
Собранная информация отправляется на сайт злоумышленника
http://kitroneza.cn/rss.php