Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера, то есть работать в сети от имени «зараженного» хоста.
Инсталляция
При запуске троянец копирует себя в корневой каталог Windows («%WinDir%») под именем «svchost.exe»:
%WinDir%\svchost.exe
Затем регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SVCHOST Generic application" = "%WinDir%\svchost.exe"
Таким образом, при каждой последующей загрузке Windows автоматически запускает файл троянца.
Деструктивная активность
Вирус запускает proxy-сервер на машине жертвы. При этом злоумышленник имеет возможности конфигурирования следующих параметров:
* запуск в резидентном режиме; * установка способа для сбора записи информации в лог; * установка IP-адреса для входящих и исходящих соединений.
Также троянец открывает следующие ссылки, пытаясь обмануть пользователя и выдать себя за системный сервис, проверяющий доступ к Интернету:
http://vistachecker.com/show.php?v=132&rnd= http://windowsupdate.microsoft.com/ http://www.microsoft.com/