Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является сценарием языка Visual Basic Script. Имеет размер 3252 байта.
После запуска троянец создает каталог:
<my_doc>\<rnd1>Где:
<rnd1>- произвольная последовательность букв латинского алфавита, например "VPAVQXCUUNGUFLTJSLNAU" или "CXHCXEKBBUOBMTA";
<my_doc>- путь к каталогу "Мои документы" для текущего пользователя, который, троянец получает из ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Далее троянец загружает файл со следующего URL адреса:
Explorer\Shell Folders\Personal]
http://kak***now.info/PCDefenderSilentSetup.msiНа момент создания описания ссылка не работала.
Сохраняет загруженный файл в созданном каталоге под именем:
<my_doc>\<rnd1>\<rnd2>Где <rnd2> - произвольная последовательность букв латинского алфавита, например "YSCXTAFWWQJWIO" или "QKUPLSXOOIBOAGNEMFH";
После этого троянец проверяет, включен ли UAC из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\И если он выключен, то троянец выполняет установку скачанного файла в тихом режиме, без взаимодействия с пользователем, в противном случае пытается запустить на выполнение с повышением привилегий.
Policies\System\EnableLUA]
Для автоматического удаления каталога со скачанным файлом троянец создает запись в системном реестре, которая будет выполнена при следующем старте системы:
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"delpcdefmsi"="cmd /c rmdir /s /q <my_doc>\<rnd1>"
Но доступ к знаниям открыт для всех