Detta spyware anländer på ett system som fil minskade med annan malware eller som en nedladdad fil från en avlägsen plats.

Vid utförande, droppar av detta spionprogram en kopia av sig själv i Windows systemmapp och bifogar sopor kod till minskade kopiera för att undvika att enkelt upptäcka.

Det skapar en mapp med dess attribut inställd på System och Dolda för att hindra användare från att upptäcka och ta bort dess komponenter. Nämnda Mappen innehåller icke-skadliga filer.

A. BIN filen är nedladdad från en avlägsen plats. För sin autostart teknik, ändrar det en registernyckel och inträde.

Detta spyware nedladdningar en krypterad konfigurationsfil. När dekrypteras, innehåller den hämtade konfigurationsfilen ekonomisk-relaterade webbplatser som detta spionprogram övervakar. Observera att innehållet i filen, alltså listan över webbplatser för att övervaka, kan ändras när som helst.

Detta spionprogram skapar också en avlägsen tråd att injicera sig själv i den lagliga processen att stanna minne hemvist. Denna rutin gör detta spionprogram för att köra även när systemet är i felsäkert läge.

Detta spionprogram försöker stjäla känslig internetbanker information. När en användare försöker komma åt någon av de övervakade platser i konfigurationsfilen, fångar den användaren (särskilt de som anges i rutorna utformad för användarnamn och lösenord).

Denna rutin risker för exponering av användarens konto information, vilket kan då leda till en obehörig användning av stulna uppgifter.

Stulna informationen lagras i den drabbade datorn. Den insamlade informationen skickas sedan via HTTP POST.



Mer ...