Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение.
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 11264 байт. Упакована неизвестным упаковщиком. Написана на С++.
После запуска троянец копирует свой исполняемый файл в системный каталог Windows под именем:
%System%\v<rnd>.exeгде rnd - случайное десятичное число. Затем запускает копию своего файла на выполнение. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"syswin"="%System%\v<rnd>.exe"
После этого вредонос пытается выполнить загрузку файла, который размещается по ссылке:
http://zer***ace.com/gettime.phpи сохранить загруженный файл с именем:
С:\gettime.txtНа момент создания описания ссылка не работала. Далее троянец считывает содержимое файла "gettime.txt" и производит удаление файла. Содержимое файла сохраняется в ключе системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion]Создает экземпляр компонента "InternetExplorer.Application". Также вредонос отправляет HTTP запрос по ссылке:
"d"="содержимое_загруженного_файла"
http://zer***ace.com/firststart.php
Храним важное в надежном месте