Новый вариант Kovter генерирует и регистрирует при установке специфическое расширение. Вредонос создает определенные ключи реестра, позволяющие запустить троян при каждом открытии файла с данным расширением.
Также вредоносная программа использует mshta для выполнения вредоносного скрипта JavaScript. Для обеспечения постоянного запуска скрипта Kovter создает в разных местах серию "мусорных" файлов со специфическим расширением. На завершающем этапе установки троян реализует механизм автозапуска, автоматически открывающий эти файлы.
"Хотя новый вариант Kovter нельзя назвать полностью бестелесным, большая часть вредоносного кода по-прежнему сохраняется только в реестре. Для того чтобы полностью удалить троян с инфицированного компьютера, потребуется удалить все созданные им файлы и внести изменения в реестре", - отметил специалист Microsoft Malware Protection Center Дак Нгуен (Duc Nguyen).
Последние несколько месяцев авторы вредоноса не сидели сложа руки. В минувшем апреле вирусописатели добавили в троян функционал шифровальщика, а в начале июля стали маскировать его под обновление для Firefox.