Троянская программа, предназначеная для накрутки счетчиков посещаемости сайтов.
Инсталляция
После запуска троянец копирует себя в корневой каталог Windows с именем svchost.exe:
%Windir%\svchost.exe
Троянец регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon]
"Userinit"="%System%\userinit.exe,,%Windir%\svchost.exe%"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Также троянец создает в корневой каталог Windows файл динамической бибилотеки с именем SYSHOST.DLL:
%Windir%\SYSHOST.DLL
Деструктивная активность
Троянец загружает из интернета в Microsoft Internet Explorer следующую станицу:
http://195.225.***.34/stat2/0034/tuk.php
Затем троянец пытается без ведома пользователя загрузить во временную папку Windows (%Temp%) следующие файлы:
http://195.225.***.34/stat2/0034/c1.txt
http://195.225.***.34/stat2/0034/c2.txt
http://195.225.***.34/stat2/0034/c3.txt