Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и запуска на компьютере другого вредоносного программного обеспечения.
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и запуска на компьютере другого вредоносного программного обеспечения.
При запуске, вредоносная программа извлекает из себя и создает в системной папке windows файл, являющийся динамически подключаемой библиотекой(.dll файл) и содержащий основной вредоносный функционал:
%system%\thxr.wgoДля автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на созданный файл в ключ автозапуска системного реестра:
После установки программа обращается к командному серверу:
http://hulejsoops.ru /images/bb.phpС которого получает командную строку, содержащую следующие основные команды и параметры:
"runurl"-скачивает по папку %temp% файл по указанному url и запускает его.
"taskid"- указывает на номер задачи.
"delay"- указывает период обращения к серверу.
"backurls"- список дополнительных адресов командных серверов, с которыми впоследствии соединяется вредоносная программа. Адреса сохраняются в ключе реестра:
[HKL\SOFTWARE\Classes\idid]
"reporturls"- после этой команды программа обращается к дополнительным командным серверам для получения других команд.
Таким образом, в результате действия данной программа на компьютер может попасть другое вредоносное программное обеспечение. На момент составления описания программа получала команду на скачивание и запуск файла
http://russ**nmomds.ru/dogma.exeТакже с помощью данных команд злоумышленник может постоянно перенастраивать вредоносную программу на новые командные сервера.
Первое — находим постоянно, второе — ждем вас