Троянская программа. Является приложением Windows (PE-EXE файл).
Инсталляция
При запуске троянец извлекает из своего тела следующий файл:
* %System%\winwil32.dll — имеет размер 17920 байт.
Также создается ключ реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwil32] "Asynchronous" = dword:00000001 "DllName" = "winwil32.dll" "Impersonate" = dword:00000000 "Startup" = "EvtStartup" "Shutdown" = "EvtShutdown"
Таким образом, при каждом последующем старте Windows троянская библиотека будет загружаться системным процессом «Winlogon.exe».
Троянец создает ключ реестра, в котором хранит свои настройки:
[HKLM\SOFTWARE\Microsoft\MSSMGR]
После завершения процесса инсталляции вредоносная программа удаляет свой исполняемый файл.
Деструктивная активность
Вирус запускает процесс «iexplore.exe» и внедряет в него свой код, открывающий на компьютере пользователя UDP-порт 1032. По данному порту троянцем принимаются команды от злоумышленника, который получает возможность выполнять следующие действия:
* получать список процессов;
* запускать/останавливать различные процессы;
* получать список Dialup-соединений;
* просматривать последовательнось нажимаемых пользователем клавиш.
Спойлер: мы раскрываем их любимые трюки