Троянская программа, которая осуществляет загрузку из Интернета и запуск на компьютере пользователя других вредоносных программ.
Первоначально данный троянец был распространен при помощи спам-рассылки.
Характеристики зараженных писем
Тема письма.
Выбирается произвольным образом из списка:
* A killer at 11, he's free at 21 and kill again! * U.S. Secretary of State Condoleezza Rice has kicked
German Chancellor Angela Merkel * British Muslims Genocide * Naked teens attack home director * 230 dead as storm batters Europe * Re: Your text * Radical Muslim drinking enemies's blood * Chinese missile shot down Russian satellite * * Chinese missile shot down USA aircraft * Chinese missile shot down USA satellite * Russian missile shot down USA aircraft * Russian missile shot down USA satellite * Russian missile shot down Chinese aircraft * Russian missile shot down Chinese satellite * Saddam Hussein safe and sound! * Saddam Hussein alive! * Venezuelan leader: "Let's the War beginning" * Fidel Castro dead.
Имя файла вложения.
Выбирается произвольным образом из списка:
* FullVideo.exe * Full Story.exe * Video.exe * Read More.exe * FullClip.exe * GreetingPostcard.exe * MoreHere.exe * FlashPostcard.exe * GreetingCard.exe * ClickHere.exe * ReadMore.exe * FlashPostcard.exe * FullNews.exe
Инсталляция
После запуска троянская программа создает следующие файлы в системном каталоге Windows:
* %System%\peers.ini
* %System%\wincom32.sys - детектируется Антивирусом Касперского
как Rootkit.Win32.Agent.dh, размер - 41 728 байт
Троянец регистрирует свои файлы в следующих ключах системного реестра:
[HKLM\System\CurrentControlSet\Services\wincom32]
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_WINCOM32]
Деструктивная активность
Троянец пытается загрузить из интернета другие файлы и запустить их на компьютере пользователя.
По содержащимся в теле троянца ссылкам злоумышленники могут разместить любые другие вредоносные программы.
Первое — находим постоянно, второе — ждем вас