Компонент троянского комплекса Trojan-Downloader.Win32.Zlob. Возвращает данные, используемые троянским инсталлятором.
Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 6144 байта, ничем не упакована.
Инсталляция
Троянец распаковывается во временный каталог Windows в ходе выполнения троянского инсталлятора из NSIS-скрипта. После использования удаляется.
Деструктивная активность
Троянец содержит две экспортируемые функции:
1. GetVerID
Возвращает скрипту троянского инсталлятора версию троянского инсталлятора, читая ее из исполняемого файла инсталлятора.
2. CheckIEHistory
Производит вызов функции, перечисляющей URL из истории в кеше браузера "visited:".
Проверяется наличие адреса из следующего набора:
?ozyfrog.com
adultchamber.com
askdamagex.com
bbs.adultwebmasterinfo.com
bbs.gofuckyourself.net
bbs.mediumpimpin.com
bigboynetwork.com
boards.xbiz.com
crutop.nu
extremebullshit.com
foogie.com
forum.krawl.com
gallerytrafficservice.com
gaymarketforum.com
gaytraffic.nl
gaywebmasterchat.com
germesia.com
gfy.com
gofuckyourself.com
greenguyandjim.com
jmbsoft.com
krawl.biz
master-x.com
netpond.com
peppersboard.com
pornresource.com
pornstarkings.com
tgpalliance.com
tgpalliance.com
thinkreel.com
videosboard.com
videoscash.com
webmastersarea.com
ynotmasters.com
Если в кеше браузера адрес не был найден, то производится поиск наличия в ключе реестра:
[HKCU\Software\Microsoft\Internet Explorer\TypedURLs]
Если в результате любого из поисков было найдено совпадение, то в скрипт инсталлятора возвращается значение строковой переменной «1», иначе — «0».
Храним важное в надежном месте