Троянская программа. Является VBS-скриптом. Имеет размер 1069 байт.
Деструктивная активность
При выполнении скрипта блокируется диспетчер задач путем установки значения соответствующего ключа реестра в параметрах безопасности:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr "="dword:00000001"
Дальше троянец останавливает свою работу на 30 секунд, после чего устанавливает адрес стартовой страницы веб-браузера Internet Explorer равным http://www.dosugrus.com и разрешение ее запуска:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.dosugrus.com" [HKLM\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.dosugrus.com" [HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"="dword:00000001" [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Pane] "HomePage"="dword:00000001"
После этого на рабочем столе Windows создается файл DosugRus.url (ссылка на документ Internet) следующего содержания:
[InternetShortcut]
URL=http://www.ruforce.com/
При запуске этого файла пользователем в браузере открывается веб-страничка по адресу http://www.ruforce.com/.
После этих действий троянец разблокирует диспетчер задач:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr "="dword:00000000"
И мы тоже не спим, чтобы держать вас в курсе всех угроз