Троянская программа, запускающая прокси-сервер на компьютере пользователя.
Инсталляция
После запуска троянец копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\services.exe
С целью автоматического запуска при последующем старте ОС вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe %WinDir%\services.exe"
Деструктивная активность
Троянская программа запускает прокси-сервер на произвольном TCP-порте, затем регистрируется на сайте злоумышленника, сообщая номер открытого порта. В результате компьютер пользователя может быть использован злоумышленниками удаленно (в том числе для маскировки их работы в сети).
Живой, мертвый или в суперпозиции? Узнайте в нашем канале