Троянская программа, загружающая из интернета файлы без ведома пользователя.
Деструктивная активность
При запуске троянцем проверяется наличие файла «c:\program files\trustin popups\popups.exe». Если этот файл присутствует в системе, то происходит завершение работы троянца.
При отсутствии этого файла троянец создает каталог «c:\program files\TrustIn Popups» и производит загрузку файла popups.exe, расположенного по указанному адресу:
http://***.trustincash.com/popups/popups.exe
Скаченный файл сохраняется в созданный троянцем каталог:
c:\program files\trustin popups\popups.exe
После этого троянец загружает файл, расположенный по ссылке:
http://***.trustincash.com/popups/uninstall.exe
И сохраняет его в тот же каталог:
c:\program files\trustin popups\uninstall.exe
На момент создания описания указанные ссылки не работали.
Троянец регистрирует файл uninstall.exe в системном реестре в секции установки и удаления программ путём добавления следующих значений ключей:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\TIPU]
"UninstallString"="c:\program files\trustin popups\uninstall.exe"
"DisplayName"="TrustIn Popups"
Дальше происходит запуск сохраненного файла popups.exe и завершение работы троянской программы.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках