Trojan.Win32. BHO.bd

Троянский компонент, встраиваемый в интернет-браузер и предназначенный для отображения рекламной информации. Является библиотекой Windows (PE DLL-файл). Имеет размер 50740 байт. Упакован при помощи UPX. Размер распакованного файла — около 104 КБ. Написан на Visual C++.

Инсталляция

При запуске вирус создает следующие записи в системном реестре:

  [HKCR\Software\Classes\CLSID\{сгенерированный_номер}]
  [HKCR\Software\Classes\CLSID\{сгенерированный_номер}\InProcServer32]
  "(default)" = "<имя библиотеки>.dll"
  

В браузер Internet Explorer встраивается BHO-компонент (Browser Helper Object):

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{generated_id}]

Также троянец создает ключ с собственными данными:

[HKLM\Software\Microsoft\Juan]

Деструктивная активность

Троянская программа представляет собой BHO-компонент, добавляемый в браузер c целью показа пользователю всплывающих окон, содержащих рекламную информацию.

Вирус следит за активностью пользователя в рамках текущей интернет-сессии, перехватывает адреса открываемых страниц и осуществляет редирект на заданный поисковый портал.