Троянская программа типа Trojan-Downloader, имеющая вирусную функцию заражения EXE-файлов. При запуске дважды копирует себя в системный каталог Windows: под текущим именем (может быть web.exe) и под именем soft.exe.
Троянская программа типа Trojan-Downloader, имеющая вирусную функцию заражения EXE-файлов. При запуске дважды копирует себя в системный каталог Windows: под текущим именем (может быть web.exe) и под именем soft.exe.
Программа добавляет в системный реестр следующие ключи:
[HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\run] "Web Service"="<путь к системному каталогу\ текущее имя>" [HKCU\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\run] "run"="<путь к системному каталогу>\ soft.exe" [HKCU\SOFTWARE\Microsoft\Windows\ CurrentVersion\run] "Web Service"="<путь к системному каталогу\ текущее имя>" [HKEY_CURRENT_USER\Software\Microsoft\ Active Setup\Installed Components\ {08B0E5C0-4FCB-11CF-AAA5-00401C608500}] "StubPath"="<путь к системному каталогу>\ soft.exe"
Отключив функцию восстановления системных файлов, выгружает процесс Explorer.exe («Проводник»). Программа находит его файлы на диске и заражает их, дописывая к ним свой код, после чего запускает процесс Explorer.exe вновь.
После заражения создает файл wininit.ini следующего содержания:
[rename] <путь к системному каталогу>\explorer.exe=<путь к системному каталогу>\explorer.new
Далее в системе действует уже зараженный процесс Explorer.exe. Его новая троянская часть отключает все уведомления встроенного межсетевого экрана, антивируса (WinXP SP2), обновления системы по сети (Windows Update) и производит постоянное, с интервалом 15 минут, скачивание зашифрованного файла commands.ini с адреса http://admin2cash.biz/<убрано из соображений безопасности>. В этом файле содержится список адресов других вирусов и троянов, которые незамедлительно скачиваются на компьютер-жертву.
Спойлер: она начинается с подписки на наш канал