Trojan-Downloader.Win32.Dyfuca.ei

Trojan-Downloader.Win32.Dyfuca.ei («Лаборатория Касперского») также известен как: Trojan.Dyfuca (Doctor Web), TR/Dldr.Dyfuca.ds (H+BEDV), Trojan.Downloader.Dyfuca.EI (SOFTWIN), Trojan.Dyfuca-20 (ClamAV), Spyware/Dyfuca (Panda), Win32/TrojanDownloader.Dyfica.NAG (Eset)

Троянская программа, загружающая из интернета файлы без ведома пользователя. Представляет собой Windows PE EXE-файл. Имеет размер 52104 байта.

После запуска троянец копирует себя в директорию «Program Files\Internet Optimizer». Затем регистрирует себя в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Internet Optimizer"="%Program Files%\Internet Optimizer\optimize.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец создает следующие ключи системного реестра:

  
  [HKLM\Software\Avenue Media\Internet Optimizer]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Internet Optimizer]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\DyFuCA]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Kapabout]

Данный троянец может без ведома пользователя скачивать различные файлы со следующего сервера:

  
  http://www.internet-optimizer.com/c***/...
  

После чего запускает скачанные файлы на исполнение.