Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение.
Инсталляция
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"RunWindowsUpdate" = "<путь к исполняемому файлу трояна>"
Деструктивная активность
После запуска троянец создает ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunWindowsUpdate]
"Gid" = "026133246127060045718030656336"
Затем отправляет запрос следующего вида:
http://www.uptodate.browse*****.com/perl/uptodate.pl?action=any&gid=026133246127060045718030656336&clientversion=1.0.7_ST&county=&cls=&isof=00
При обращении к вышеуказанному URL добавляются параметры, в которых передается текущая версия троянской программы. Если новой версии для загрузки нет, сервер присылает ответ "", если есть более новая версия, - сервер присылает ссылку для загрузки более новой версии файла. Троянец скачивает обновленную версию и сохраняет во временный каталог в файл с именем:
%Temp%\_ps_inst.exe
После чего запускает его на выполнение.
Другие названия
Trojan-Downloader.Win32.Braidupdate.c («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Braidupdate.c («Лаборатория Касперского»), Trojan.Braid (Doctor Web), TROJ_BRAIDUPDT.C (Trend Micro), TR/Dldr.Braidupda.C (H+BEDV), Win32:Trojano-363 (ALWIL), Downloader.Braidupdate.C (Grisoft), Worm.WinUpToDate (ClamAV), Trj/Downloader.PO (Panda), Win32/TrojanDownloader.Braidupdate.C (Eset)
Никаких овечек — только отборные научные факты