Троянская программа, загружающая из интернета файлы без ведома пользователя.
Деструктивная активность
После запуска троянец создает следующие папки:
%UserProfile%\Application Data\winshow
%UserProfile%\Application Data\winlink
После чего скачивает файлы со следующих URL:
http://00hq.com/update/winshow.dll
http://winlink.biz/winlink.dll
http://winlink.ws/winlink.dll
И сохраняет их в созданные папки:
%UserProfile%\Application Data\winshow\winshow.dll
%UserProfile%\Application Data\winlink\winlink.dll
После удачного сохранения троянец подключает скачанные файлы и вызывает из них функцию:
DllRegisterServer
В противном случае загрузка повторяется каждые 5 минут.
На момент создания описания файлы с указанных адресов не скачивались.
Другие названия
Trojan-Downloader.Win32.WinShow.g («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.WinShow.g («Лаборатория Касперского»), Download.Trojan (Symantec), Trojan.WinShow (Doctor Web), TrojanDownloader:Win32/Winshow (RAV), TROJ_WINSHOW.A (Trend Micro), TR/WinShow.G.1 (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Winshow.G (Grisoft), Trojan.Win32.Winshow.A (SOFTWIN), Trojan.Downloader.W32.Winshow.G (ClamAV), Adware/Winshow (Panda), Win32/TrojanDownloader.WinShow.A (Eset)
Лечим цифровую неграмотность без побочных эффектов