Троянская программа, предназначенная для кражи паролей пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 12288 байт. Ничем не упакована.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows под оригинальным именем.

Также вирус добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel.Tsk" = "<путь до исполняемого файла трояна>"

Таким образом, троянская программа будет автоматически запускаться при каждом последующем старте ОС.

Деструктивная активность

Троянец похищает все сохраненные в системе пароли с помощью недокументированной функции «WnetEnumCachedPasswords».

Используя перехватчики сообщений от клавиатуры и мыши, вирус похищает текст, введенный в компонентах класса «Edit» в окнах следующих процессов:
Iexplore.exe
thebat.exe
msimn.exe

Собранные данные отправляются на электронную почту злоумышленника:
zim***ov8@mail.ru