Trojan.Win32.VB.ami

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на Visual Basic.

После запуска троянец посылает следующий HTTP-запрос:

Результатом этого запроса является страница, содержащая текст следующего скрипта JavаScript, который будет выполнен сразу же после выполнения запроса:

В этом скрипте происходит получение содержимого веб-страницы, генерируемой скриптом cs.php по адресу http://www.ne***.com/deliver/cs.php через 99 секунд после выполнения предыдущего скрипта. На этой странице размещено два других скрипта. В первом происходит анализ размера окна браузера, и если оно больше или равно 300 пикселям, то происходит перенаправление на сайт http://www.ne***.com. В противном случае выполняется скрипт, посылающий поисковый запрос на один из следующих поисковиков:

При каждом вызове скрипта cs.php для поискового запроса генерируется новое слово. Новый вызов повторяется через определенный промежуток времени для следующего слова поиска.