Trojan.Win32.LowZones.cp

Программа является приложением Windows (PE EXE-файл), имеет размер 3229 байт, упакована FSG.

Программа является приложением Windows (PE EXE-файл), имеет размер 3229 байт, упакована FSG. Размер распакованного файла — около 28 КБ.

После запуска троянец копирует себя в системный каталог Windows с именем gxlib.exe:

%System%\gxlib.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
 "vmcleaner"="gxlib.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Для изменения уровня защиты в Internet Explorer троянец изменяет различные ключи в следующем разделе системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

Данный троянец показывает рекламную HTML-страницу.