Trojan-Spy.Win32.Briss.i

Trojan-Spy.Win32.Briss.i («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Briss.i («Лаборатория Касперского»), Keylog-Briss (McAfee), Trojan.Briss (Doctor Web), Troj/Bridge-B (Sophos), TrojanDownloader:Win32/Bridge.A (RAV), TROJ_BRIDGE.A (Trend Micro), DR/Bridge.A.2 (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Bridge.A (Grisoft), Trojan.Downloader.Bridge.A (SOFTWIN), Trojan.WinFavorites.Bridge (ClamAV), Spyware/Bridge (Panda), Win32/TrojanDownloader.Bridge.A (Eset)

Объект-компаньон (BHO) Internet Explorer. При запуске создает объект синхронизации (mutex) с именем «Bridge1». С его помощью программа всегда может иметь только одну свою копию в памяти.

Каждый час программа пытается скачать свои обновления с сайта:

  www2.flingstone.com/welcome_valid.php?
  
  h_key=<product>&hkey2=<user_hdd_id>
  &bundle_id=<>&partner_id=<> 

Причем, при составлении запроса использует уникальные данные компьютера пользователя, например, серийный номер жесткого диска и его модель.

Регистрируется как BHO в системе:

  [SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\Browser Helper Objects\
  {9C691A33-7DDA-4C2F-BE4C-C176083F35CF}] 

Для своего автозапуска создает ключ реестра:

  [SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RunDLL] 

Имеет средства удаления себя с компьютера, для чего регистрирует ключ:

  [SOFTWARE\Microsoft\Windows\CurrentVersion\
  Uninstall\bridge]