Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер около 27 КБ.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\NTdhcp.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NTdhcp" = "%System%\NTdhcp.exe"
После процесса инсталляции троян удаляет свой оригинальный исполняемый файл.
Деструктивная активность
Троянец отключает антивирусную защиту компьютера:
* Отключает службы со следующими именами:
RsRavMon
RsCCenter
Kavsvc
KVSrvXP
Wscsvc
KPfwSvc
KwatchSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
Navapsvc
NPFMntor
MskService
FireSvc
McShield
McTaskManager
McAfeeFramework
* Из ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
удаляет параметры со следующими именами:
KAVPersonal50
RavMon
RavTimer
KvMonXP
iDuba Personal FireWall
KAVRun
KpopMon
Kulansyn
KavPFW
ccApp
SSC_UserPrompt
NAV CfgWiz
MCAgentExe
McRegWiz
MCUpdateExe
MSKAGENTEXE
MSKDetectorExe
VirusScan Online
VSOCheckTask
McAfeeUpdaterUI
ShStatEXE
VSOCheckTask
KavStart
Services
KWatch9x
Csoftok
explor.exe
windos
* Завершает следующие процессы:
FireTray.exe
UpdaterUI.exe
TBMon.exe
SHSTAT.EXE
RAV.EXE
RAVMON.EXE
RAVTIMER.EXE
KVXP.KXP
KVCENTER.KXP
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE
KmailMon.EXE
KAVStart.exe
KATMain.EXE
TrojanDetector.EXE
KVFW.EXE
KVMonXP.KXP
KAVPLUS.EXE
KWATCHUI.EXE
KPOPMON.EXE
KAV32.EXE
CCAPP.EXE
MCAGENT.EXE
MCVSESCN.EXE
MSKAGENT.EXE
EGHOST.EXE
KRegEx.exe
TrojDie.kxp
KVOL.exe
kvolself.exe
KWatch9x.exe
SOFTOK.EXE
explor.exe
windox.exe
Троянец похишает пароли на учетные записи к программе QQMessenger. Для этого он сканирует систему в поисках окон этой программы и ищет среди них диалоги авторизации, если находит, извлекает текст введенный в полях ввода и сохраняет его в файл отчета: %WinDir%\Media\chord.waz
Отчет периодически отправляется на электронную почту злоумышленнику.
Другие названия
Trojan-Downloader.Win32.Small.bah («Лаборатория Касперского») также известен как: ProcKill-CT (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Qqrobber.16 (Doctor Web), TROJ_QQROB.R (Trend Micro), TR/Gamect.A (H+BEDV), Trojan.Downloader.Agent.PD (SOFTWIN), Trojan.Downloader.Small-582 (ClamAV), Trj/QQRob.Z (Panda), Win32/TrojanDownloader.Agent.PD (Eset) | 
