Троянская программа, которая загружает на компьютер файлы из сети Интернет без ведома пользователя.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\isca.exe
В ключ автозапуска системного реестра добавляется параметр:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"gtydf" = "%System%\iscca.exe"
Поскольку имя исполняемого файла указано неверно, вирус не будет автоматически запускаться при каждом последующем старте операционной системы.
Также троянец создает следующий параметр в ключе реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion]
"wef" = "1f9"
Деструктивная активность
Данная вредоносная программа генерирует файл:
%System%\drivers\qas.tx
Его одержимое представляет собой список URL, по которым располагаются другие файлы:
http://starcleaningservice.com.au/images***
http://intercitiprojects.com.au/images***
http://invitech.net/images/buttons***
http://releaseforlife.com/images***
http://hopemanor.com/images***
http://cameouk.co.uk***
(На момент создания описания ни одна из ссылок не работала.)
Троянская программа скачивает файлы по заданным ссылкам и сохраняет их в системный каталог Windows под различными именами. Все загруженные файлы запускаются на исполнение.
Также троянец прекращает работу следующих процессов в системе:
outpost.exe
lspfix.exe
kavpf.exe
zlclient.exe
kpf4ss.exe
Разбираем кейсы, делимся опытом, учимся на чужих ошибках