Worm.Win32. Pinit.ft
Worm.Win32. Pinit.ft
Alexander Antipov
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ.
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ.
Инсталляция
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PromoReg" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.
"PromoReg" = "<filepath>"
Также программа создает следующее значение ключа реестра:
[HKСU\Microsoft\Windows\CurrentVersion\Explorer]
"WINID"="1CA889455CF9DCC"
"WINID"="1CA889455CF9DCC"
name="doc3">
Деструктивная активность
Cкачивает из интернета файлы по следующим электронным адресам:
http://enewwindows.com/cd/cd.phpСохраняет их в папке %Temp% под произвольными именами и запускает. На момент проведения экспертизы данные ссылки были недоступны.
http://yourwindowsvista.com/cd/cd.php
http://windowsups.cn/cd/cd.php
Также программа сохраняет время, в которое происходила загрузка в лог-файле
%Temp%\fdshsa873gf.tmp
Наш канал защищен лучше, чем ваш компьютер!
Но доступ к знаниям открыт для всех