Троянская программа, предназначенная для загрузки без ведома пользователя файлов из сети Интернет.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\iisca.exe
Ссылка на файл добавляется в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
gtydf="iisca.exe"
Также вирус создает следующий параметр в ключе реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion]
"wef"
Деструктивная активность
Троянец генерирует файл, куда записывает перечень URL:
%System%\drivers\qias.tx
Содержимое созданного файла таково:
http://knowledgecentral.co.uk/images***
http://kimmaguire.com/org/camden***
http://fruitsinsuits.com.hk/images***
http://marketing-know-how.com/just***
http://abot.org/iad***
http://www.berkili-maschinen.de/img***
http://www.renatekoch.com/html***
http://81.95.147.138***
По данным ссылкам располагаются файлы для загрузки. Троянская программа скачивает их и сохраняет в системный каталог Windows под различными именами, после чего запускает на исполнение.
На момент создания описания по некоторым из перечисленных ссылок находились файлы, детектирующиеся Антивирусом Касперского как Trojan-Spy.Win32.BZub.ir.
В дополнение троянец завершает следующие процессы:
outpost.exe
lspfix.exe
kavpf.exe
zlclient.exe
kpf4ss.exe
В Матрице безопасности выбор очевиден