Троянская программа. Является приложением Windows (PE EXE-файл).
Инсталляция
После запуска троянец выполняет проверку наличия файла inz.d в подкаталоге I75-D2 системного каталога Windows:
%System%\I75-D2\inz.d
Если такой файл не найден, то происходит создание папки I75-D2 в системном каталоге Windows и копирование тела троянца в эту папку под именем dkernel.exe:
%System%\I75-D2\dkernel.exe
После этого троянец запускает файл dkernel.exe и завершает свою работу.
Деструктивная активность
После запуска dkernel.exe происходит извлечение вспомогательного файла-модуля lExplorer.exe (размер 28672 байта, написан на Visual Basic 6.0) из ресурсов файла в корневой каталог Windows и его запуск на исполнение:
%Windir%\lExplorer.exe
Далее в каталоге %System%\I75-D2 формируется файл inz.d следующего содержания:
[d2]
start=yes
MyName=decoil daun (d2)
MyPath=%System%\I75-D2\dkernel.exe
ComeAt=Jam %Hour%: %Minutes% --%Date%
Level=Moderate (can cange level of virus)
Tampungan=%System%\I75-D2\dTemp
Author=FM nibO
После этого происходит получение пути к проигрывателю Winamp, путем чтения параметра command из следующего ключа реестра:
[HKCR\Software\Classes\Winamp.File\shell\open]
Далее происходит регистрация автозапуска основного файла троянца и вспомогательного модуля в реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"dKernel"="%System%\I75-D2\dkernel.exe"
"lExplorer"="%Windir%\lExplorer.exe"
А также регистрация автозапуска модуля при начале нового сеанса:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe lExplorer.exe"
При каждой следующей загрузке Windows автоматически запустит файлы троянца.
После этого происходит извлечение миди-файла d2.mix размером 39672 байта.
В процессе работы в главном модуле происходит проверка, запущен ли вспомогательный модуль %Windir%\lExplorer.exe и его запуск, если он не запущен. В свою очередь, во вспомогательном модуле выполняются те же действия относительно главного модуля. Также в главном модуле происходит постоянная проверка наличия значений установленных троянской программой параметров реестра.
Кроме того, троянская программа ожидает появления файла ulfahanis.d в корневом каталоге диска C:. Если этот файл будет найден, то троянец отображает на экране зараженного компьютера следующую анимированную заставку.
И затем завершает работу основного и вспомогательного модулей вируса до очередной перезагрузки системы.
Но доступ к знаниям открыт для всех