Trojan-PSW.Linage.e
Троян при первом запуске копирует себя в папку Program Files под именем explorer.exe и прописывает себя в автозагрузку классическим способом (ключ реестра Run, параметр LoadMeth1). Размер файла - 48640 байт.
Внутри исполняемого файла (в его хвосте) расположена библиотека, которая при запуске копируется трояном в папку System32 под именем htdll.dll (размер 22528 байт, сжата UPX). Библиотека предназначена для реализации функций кейлоггера (это клавиатурный хук, который ко всему прочему импортирует winsock и судя по всему может передавать собранную информацию напрямую).
Троян может бороться с некоторыми Firewall (например, список exe оригинален - EGHOST.EXE, MAILMON.EXE, KAVPFW.EXE, IPARMOR.EXE). В теле программы содержится шаблон для отправки письма вида: http://www.webshell.cn/tw.asp?tomail...l.cn&mailbody= <письмо>