Программа является приложением Windows (PE EXE-файл), имеет размер около 36 КБ.
Программа является приложением Windows (PE EXE-файл), имеет размер около 36 КБ.
При инсталляции троянец копирует себя в системный каталог Windows с именем winnook.exe:
%System%\winnook.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\ CurrentVersion\Run] "Intel system tool"="%System%\winnook.exe"
При запуске троянец создает свою иконку в системном трее и через случайный промежуток времени на экране появляется следующее сообщение:
Также троянец создает файл desktop.html в корневом каталоге Windows и периодически открывает его в окне браузера:
При нажатии на данную ссылку или на созданную иконку троянец открывает следующий интернет сайт:
http://www.antivirus-gold.com/***
Храним важное в надежном месте