Security Lab

Trojan-Downloader.Win32. Bagle.cu

Trojan-Downloader.Win32. Bagle.cu

Данная программа представляет собой троянскую составляющую почтовых червей семейства Email-Worm.Win32.Bagle.

Данная программа представляет собой троянскую составляющую почтовых червей семейства Email-Worm.Win32.Bagle. Она предназначена для загрузки на зараженный компьютер файлов из сети Интернет без ведома пользователя и последующего запуска их на исполнение.

Является приложением Windows (PE EXE-файл). Размер компонентов троянца варьируется в пределах от 200 до 320 КБ.

Инсталляция

При инсталляции троянец копирует свой исполняемый файл в следующую папку:

  %System%\drivers\hidr.exe
  

С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "drvsyskit" = "%System%\drivers\hidr.exe"
  

Также троянец создает ключ реестра, в котором хранит свои настройки:

[HKCU\Software\FirstRRRun]

Затем программа извлекает из своего исполняемого файла rootkit-драйвер:

  %System%\drivers\srosa.sys

Троянец создает службу с именем «Megadrv3», которая при каждой загрузке Windows запускает извлеченный драйвер.

При помощи установленного rootkit-драйвера троянец скрывает свои файлы на жестком диске и записи в системном реестре, а также свой процесс в списке системных процессов.

Деструктивная активность

Троянец завершает следующие процессы:

  a2cmd.exe
  a2guard.exe
  a2HiJackFree.exe
  a2scan.exe
  a2service.exe
  a2start.exe
  a2upd.exe
  a2wizard.exe
  aavshield.exe
  About.exe
  AckWin32.exe
  ADVCHK.EXE
  Agb5.exe
  Agb5_.exe
  AhnSD.exe
  airdefense.exe
  ALERTSVC.EXE
  ALMon.exe
  ALOGSERV.EXE
  ALsvc.exe
  ALUNOTIFY.EXE
  amon.exe
  Anti-Trojan.exe
  AntiVirScheduler
  AntiVirService
  AntiVirus.exe
  ANTS.EXE
  APVXDWIN.EXE
  Armor2net.exe
  ash.exe
  ashAvast.exe
  ashAvSrv.exe
  ashchest.exe
  ashDisp.exe
  ashDug.exe
  ashEnhcd.exe
  ashLogV.exe
  ashMaiSv.exe
  ashPopWz.exe
  ashQuick.exe
  ashServ.exe
  ashsimp2.exe
  ashSimpl.exe
  ashSkPcc.exe
  ashSkPck.exe
  ashUpd.exe
  ashWebSv.exe
  ash_UpdateMediator.exe
  aswRegSvr.exe
  aswUpdSv.exe
  ATCON.EXE
  ATUPDATER.EXE
  ATWATCH.EXE
  AUPDATE.EXE
  AUTODOWN.EXE
  AutostartExplorer.exe
  AUTOTRACE.EXE
  AUTOUPDATE.EXE
  avadmin.exe
  avcenter.exe
  avciman.exe
  avcmd.exe
  avconfig.exe
  Avconsol.exe
  AVENGINE.EXE
  avgamsvr.exe
  avgcc.exe
  AVGCC32.EXE
  AVGCTRL.EXE
  avgdiag.exe
  avgemc.exe
  avgfwsrv.exe
  avginet.exe
  avgnpdln.exe
  avgnpsvc.exe
  AVGNT.EXE
  avgntdd
  avgntmgr
  avgrssvc.exe
  avgscan.exe
  AVGSERV.EXE
  AVGUARD.EXE
  avgupden.exe
  avgupsvc.exe
  avgvv.exe
  avgw.exe
  avgwizfw.exe
  avinitnt.exe
  AvkServ.exe
  AVKService.exe
  AVKWCtl.exe
  avnotify.exe
  AVP.EXE
  AVP32.EXE
  avpcc.exe
  avpm.exe
  AVPUPD.EXE
  avscan.exe
  AVSCHED32.EXE
  avsynmgr.exe
  AVWUPD32.EXE
  AVWUPSRV.EXE
  AVXMONITOR9X.EXE
  AVXMONITORNT.EXE
  AVXQUAR.EXE
  BackWeb-4476822.exe
  bdagent.exe
  bdmcon.exe
  bdnews.exe
  bdoesrv.exe
  bdss.exe
  bdsubmit.exe
  bdsubmitwiz.exe
  BDSurvey.exe
  bdswitch.exe
  bdwizreg.exe
  blackd.exe
  blackice.exe
  blindman.exe
  BTIni.exe
  BTIniNT.exe
  cafix.exe
  CavApp.exe
  CaVasm.exe
  CavAUD.exe
  CavEmSrv.exe
  Cavmr.exe
  CavMUD.exe
  Cavoar.exe
  CavQ.exe
  CAVSCons.exe
  cavse.exe
  CavSn.exe
  CavSub.exe
  CAVSubmit.exe
  CavUMAS.exe
  CavUserUpd.exe
  Cavvl.exe
  ccApp.exe
  ccEvtMgr.exe
  ccProxy.exe
  ccSetMgr.exe
  CEmRep.exe
  CFIAUDIT.EXE
  CHKDSK.EXE
  clamscan.exe
  ClamTray.exe
  ClamWin.exe
  Claw95.exe
  Claw95cf.exe
  cleaner.exe
  cleaner3.exe
  CliSvc.exe
  CMain.exe
  CMGrdian.exe
  copyx64.exe
  cpd.exe
  cssexc.exe
  custinstall.exe
  custsetup.exe
  defensewall.exe
  DefWatch.exe
  dislite.exe
  DOORS.EXE
  dpatrolq.exe
  drvctl.exe
  DrVirus.exe
  DrvMap.exe
  drwadins.exe
  drweb32w.exe
  drweb386.exe
  drwebscd.exe
  DRWEBUPW.EXE
  drwebwcl.exe
  drwreg.exe
  ecmd.exe
  egni.exe
  ekrn.exe
  EMM386.EXE
  ESCANH95.EXE
  ESCANHNT.EXE
  ewidoctrl.exe
  exit_av.exe
  EzAntivirusRegistrationCheck.exe
  F-AGNT95.EXE
  F-PROT95.EXE
  F-Sched.exe
  F-StopW.EXE
  FAMEH32.exe
  FAST.EXE
  FCH32.exe
  firebird.exe
  FireSvc.exe
  FireTray.exe
  FIREWALL.EXE
  FLOPPY.EXE
  FLOPPY9x.EXE
  FLOPPYME.EXE
  FPAVServer.exe
  fpavupdm.exe
  FProtTray.exe
  fpscan.exe
  fptrayproc.exe
  FPWin.exe
  freshclam.exe
  FRW.EXE
  fsample.exe
  fsaua.exe
  fsauach.exe
  fsav.exe
  fsav32.exe
  fsavaui.exe
  fsavgui.exe
  fsavstrt.exe
  fsavwsch.exe
  fsavwscr.exe
  fsbwsys.exe
  fsdbuh.exe
  fsdc.exe
  fsdfwd.exe
  FSDIAG.exe
  FsDiagUi.exe
  fsfwwsch.exe
  fsfwwscr.exe
  fsgetwab.exe
  fsgk32.exe
  fsgk32st.exe
  fsguidll.exe
  fsguiexe.exe
  FSHDLL32.exe
  fshelp.exe
  FSHOTFIX.exe
  fsihcomp.exe
  fsihs.exe
  FSIMAGE.EXE
  FSLAUNCH.exe
  FSM32.exe
  FSMA32.exe
  FSMB32.exe
  fspc.exe
  fspex.exe
  fsqh.exe
  fssf.exe
  fssg.exe
  fssm32.exe
  fsstm.exe
  fssw.exe
  fstlui.exe
  fsuninst.exe
  fsus.exe
  gcasDtServ.exe
  gcasServ.exe
  GIANTAntiSpywareMain.exe
  GIANTAntiSpywareUpdater.exe
  GUARD.EXE
  guardgni.exe
  GUARDGUI.EXE
  GuardNT.exe
  helper.exe
  hipsdiag.exe
  HRegMon.exe
  Hrres.exe
  HSockPE.exe
  HUpdate.EXE
  iamapp.exe
  iamserv.exe
  ICLOAD95.EXE
  ICLOADNT.EXE
  ICMON.EXE
  ICSSUPPNT.EXE
  ICSUPP95.EXE
  ICSUPPNT.EXE
  IERegFix.exe
  IFACE.EXE
  ih8.exe
  ih8run.exe
  ILAUNCHR.exe
  INETUPD.EXE
  InocIT.exe
  InoRpc.exe
  InoRT.exe
  InoTask.exe
  InoUpTNG.exe
  InstallCAVS.exe
  InstallLicense.exe
  InstallLSP.exe
  InstLsp.exe
  INWISE.EXE
  IOMON98.EXE
  isafe.exe
  ISATRAY.EXE
  ISPNews.exe
  isPwdsvc.exe
  ISRV95.EXE
  ISSVC.exe
  isUAC.exe
  JEDI.EXE
  KAV.exe
  kavmm.exe
  KAVPF.exe
  KavPFW.exe
  KAVStart.exe
  KAVSvc.exe
  KAVSvcUI.EXE
  KMailMon.EXE
  KPfwSvc.EXE
  KWatch.EXE
  licmgr.exe
  livesrv.exe
  LiveUpdate.exe
  LOCKDOWN2000.EXE
  LogWatNT.exe
  lpfw.exe
  LUALL.EXE
  LUCallbackProxy.exe
  LUCheck.exe
  LUCOMSERVER.EXE
  LuComServer_3_2.EXE
  LuConfig.exe
  LUInit.exe
  Luupdate.exe
  MalwareRemoval.exe
  MCAGENT.EXE
  mcmnhdlr.exe
  mcregwiz.exe
  Mcshield.exe
  MCUPDATE.EXE
  mcvsshld.exe
  MemString.exe
  MINILOG.EXE
  MONITOR.EXE
  monlite.exe
  MonSysNT.exe
  MOOLIVE.EXE
  MpEng.exe
  mpssvc.exe
  MSMPSVC.exe
  mva.exe
  MVC.exe
  myAgtSvc.exe
  myagttry.exe
  navapsvc.exe
  NAVAPW32.EXE
  NavLu32.exe
  NAVStub.exe
  NAVW32.EXE
  Navwnt.exe
  NDD32.EXE
  NeoWatchLog.exe
  NeoWatchTray.exe
  NetstatViewer.exe
  nisoptui.exe
  NISSERV
  NISUM.EXE
  NMAIN.EXE
  nod32.exe
  nod32krn.exe
  nod32kui.exe
  NORMIST.EXE
  NotifyHA.exe
  notstart.exe
  npavtray.exe
  NPFMNTOR.EXE
  npfmsg.exe
  NPROTECT.EXE
  NSCHED32.EXE
  NSMdtr.exe
  NssServ.exe
  NssTray.exe
  ntoskrnl.exe
  ntrtscan.exe
  NTXconfig.exe
  NUPGRADE.EXE
  NVC95.EXE
  Nvcod.exe
  Nvcte.exe
  Nvcut.exe
  NWCDEX.EXE
  NWService.exe
  oasrv.exe
  oaui.exe
  OfcPfwSvc.exe
  olAddin.exe
  OnAccessInstaller.exe
  osCheck.exe
  OUTPOST.EXE
  PartIn.exe
  PartIn9x.exe
  partinfo.exe
  PartInNT.exe
  PAV.EXE
  PavFires.exe
  PavFnSvr.exe
  Pavkre.exe
  PavProt.exe
  pavProxy.exe
  pavprsrv.exe
  pavsrv51.exe
  PAVSS.EXE
  pccguide.exe
  PCCIOMON.EXE
  pccntmon.exe
  PCCPFW.exe
  PcCtlCom.exe
  PCTAV.exe
  PERSFW.EXE
  pertsk.exe
  PERVAC.EXE
  PM8Flash.exe
  PMagic.exe
  PMagic9x.exe
  PMagicBT.exe
  PMagicNT.exe
  PNMSRV.EXE
  POLUTIL.exe
  POP3TRAP.EXE
  POPROXY.EXE
  postinstall.exe
  ppfw.exe
  PQBOOT.EXE
  Pqboot32.exe
  PQBOOTX.EXE
  pqbw.exe
  PQLAUNCH.EXE
  PQMAGIC.EXE
  PqPe.exe
  pqpe9x.exe
  pqpent.exe
  preconfig.exe
  preupd.exe
  prevsrv.exe
  PrevxSetup.exe
  ProcessViewer.exe
  psctrls.exe
  pshost.exe
  PsImSvc.exe
  PTEDIT.EXE
  PTEDIT32.EXE
  PTEPIT32.EXE
  PXAgent.exe
  PXConsole.exe
  PXL.exe
  PXL1.exe
  PXReset.exe
  pxsupport.exe
  QHM32.EXE
  QHONLINE.EXE
  QHONSVC.EXE
  QHPF.EXE
  qhwscsvc.exe
  qklez.exe
  qrtfix.exe
  quaranti.exe
  RavMon.exe
  RavTimer.exe
  Realmon.exe
  REALMON95.EXE
  register.exe
  removeit.exe
  Remover.exe
  Rescue.exe
  rfwmain.exe
  Rtvscan.exe
  RTVSCN95.EXE
  RuLaunch.exe
  RunSetup.exe
  sarcli.exe
  sargui.exe
  SAV32CLI.EXE
  SAVAdminService.exe
  SAVMain.exe
  savprogress.exe
  SAVScan.exe
  SCAN32.EXE
  scanner.exe
  ScanningProcess.exe
  sched.exe
  sdhelp.exe
  sdinvoker.exe
  sdloader.exe
  SDTrayApp.exe
  seccenter.exe
  SERVIC~1.EXE
  SHSTAT.EXE
  sigtool.exe
  SiteCli.exe
  smc.exe
  SNDSrvc.exe
  SNUTIL.EXE
  SPBBCSvc.exe
  SPHINX.EXE
  spiderml.exe
  spidernt.exe
  Spiderui.exe
  sporder.exe
  SpybotSD.exe
  SPYXX.EXE
  SS3EDIT.EXE
  start_diag.exe
  stopsignav.exe
  SubmitFiles.exe
  svcntaux.exe
  swAgent.exe
  swdoctor.exe
  swdsvc.exe
  SWNETSUP.EXE
  SymantecRootInstaller.exe
  symlcsvc.exe
  SymProxySvc.exe
  SymSPort.exe
  SymWSC.exe
  SYNMGR.EXE
  Sysinfo.exe
  TAUMON.EXE
  TBMon.exe
  TC.EXE
  tca.exe
  TCM.EXE
  TDS-3.EXE
  TeaTimer.exe
  TFAK.EXE
  tgsvcstp.exe
  THAV.EXE
  THGnard.exe
  THSM.EXE
  Tmas.exe
  tmlisten.exe
  Tmntsrv.exe
  TmPfw.exe
  tmproxy.exe
  tnbutil.exe
  tracelog.exe
  TRJSCAN.EXE
  TrojanGuarder.exe
  TrojanHunter.exe
  trtddptr.exe
  uiscan.exe
  UninstallCAVS.exe
  Uninstaller.exe
  UninstallLSP.exe
  unp_test.exe
  Up2Date.exe
  UPDATE.EXE
  UpdaterUI.exe
  updclient.exe
  upgrepl.exe
  UPSObMaker.exe
  UUpd.exe
  Vba32ECM.exe
  Vba32ifs.exe
  vba32ldr.exe
  Vba32PP3.exe
  VBSNTW.exe
  vchk.exe
  vcrmon.exe
  VetTray.exe
  viritexp.exe
  viritsvc.exe
  VirusKeeper.exe
  VirusNews.exe
  VistAux.exe
  VisthLic.exe
  VisthUpd.exe
  VPTRAY.EXE
  vrfwsvc.exe
  VRMONNT.EXE
  vrmonsvc.exe
  vrrw32.exe
  VSECOMR.EXE
  Vshwin32.exe
  vsmon.exe
  vsserv.exe
  VsStat.exe
  w9xpopen
  WATCHDOG.EXE
  Wclose.exe
  webfiltr.exe
  WebProxy.exe
  Webscanx.exe
  WEBTRAP.EXE
  WGFE95.EXE
  wil.exe
  Winaw32.exe
  WindowList.exe
  winroute.exe
  winss.exe
  winssnotify.exe
  WRADMIN.EXE
  WRCTRL.EXE
  writespid.exe
  WRPROG.EXE
  wsctool.exe
  xcommsvr.exe
  zatutor.exe
  ZAUINST.EXE
  zauninst.exe
  zlclient.exe
  zonealarm.exe
  _AVP32.EXE
  _AVPCC.EXE
  _AVPM.EXE

А также останавливает и удаляет службы:

wuauserv
Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
Ahnlab
task
Scheduler
alerter
AlertManger
AntiVir
Service
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
Ati
HotKey
Poller
avast!
Antivirus
avast!
Mail
Scanner
avast!
Web
Scanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgFwSvr
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb
client
4476822
BackWeb
Client
7681197
backweb
client-4476822
Bdfndisf
bdftdif
bdss
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewido
security
suite
control
ewido
security
suite
driver
ewido
security
suite
guard
F-Prot
Antivirus
Update
Monitor
F-Secure
Gatekeeper
Handler
Starter
firewall
fsbwsys
FSDFWD
FSFW
FSMA
FSAUA
F-Secure
Gatekeeper
Handler
Starter
FTPFILT.DLL
FwcAgent
fwdrv
Guard
NT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
InoRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfee
Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
Microsoft
NetWork
FireWall
Services
MonSvcNT
MpfService
navapsvc
Ndisuio
NDIS_RD
Network
Associates
Log
Service
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman
NJeeves
Norman
Type-R
Norman
ZANDA
Norton
AntiVirus
Server
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
Outbreak
Manager
Outpost
Firewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavProt
PavPrSrv
PavReport
PAVSRV
PCCPFW
PCC_PFW
PersFW
Personal
Firewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
wscsvc
Quick
Heal
Online
Protection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec
AntiVirus
Client
Symantec
Core
LC
The_Hacker_Antivirus
Tmntsrv
TmPfw
tmproxy
tmtdi
tm_cfw
T_H_S_M
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNetic
AntiVirus
Plug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
WinDefend
wuauserv
Xcomm

Троянец загружает файл по одной из следующих ссылок:

  http://cortinasdoncarlos.com.ar***
  http://www.courdesloges.com***
  http://aytocristobal.com***
  http://cuidatumiembro.com***
  http://cyclegolf.com***
  http://cycletech.de***
  http://maneironsclimb.com***
  http://www.etraining.ee***
  http://dadivaria.com***
  http://dancefrequency.com.br***
  http://darioo.altervista.org***
  http://daruliftaa.com***
  http://datalifecenter.com***
  http://datissa.com***
  http://www.dbmetric.com***
  http://WWW.DDP.COM.PE***
  http://www.debmark.com***
  http://decastrogil.es***
  http://delattres.com***
  http://demianaiello.com.ar***
  http://demo.portaltapejara.com***
  http://derechoydemocracia.es***
  http://www.devergo.com***
  http://dezaete.nl***
  http://dieppeseinemaritime.com***
  http://digitalpicture.com***
  http://digicromo.com***
  http://diocesequebec.qc.ca***
  http://divinaclub.com***
  http://divinojocelyn.altervista.org***
  http://dj-horoz.com***
  http://djsoprano.cp.win.pl***
  http://djthefox.com***
  http://deniselinsconvites.com.br***
  http://lotva.org***
  http://oliwia.iskierka.org***
  http://dospablos.es***
  http://dponcemi.altervista.org***
  http://drutplast.com.pl***
  http://dudys.bx.pl***
  http://dukedem.com***
  http://dddesignstudio.com***
  http://easylimo.es***
  http://doctorlife.org***
  http://eccesso.es***
  http://ecobos.be***
  http://www.edenvillage.it***
  http://programaseducativos-salamanca.com***
  http://www.ekogips.pl***
  http://www.ekotap.pl***
  http://elelfogris.com***
  http://elemco.pl***
  http://elitan.pl***
  http://passecdl.co.uk***
  http://www.elotron.com***
  http://elpantalan.es***
  http://industriascarnicaselrobledo.com***
  http://www.enco-group.cz***
  http://energiesport.com***
  http://epamateohernandez.com***
  http://eravamo100.altervista.org***
  http://esf-ct.com***
  http://espaciojoven.org***
  http://www.espaceprojets-villejuif.fr***
  http://www.eszterlancaruhaz.hu***
  http://www.etalon-stroy.ru***
  http://www.experiment.lv***
  http://streetlions.com***
  http://www.false-news.com***
  http://falshpolcom.18.com1.ru***
  http://www.concretosfamasa.com***
  http://fermesdemarie.eolas-services.com***
  http://fernandoaureliano.com***
  http://fetems.org.br***
  http://wolfsdonksport.be***
  http://filibertovillalobosguijuelo.com***
  http://finz-center.com***
  http://www.fitdina.com***
  http://fiveuk.fi.funpic.org***
  http://flabs.net***
  http://fomentocredito.es***
  http://fortis-sf.home.pl***
  http://fotoastur.com***
  http://fouadovedia.com***
  http://foxx.fan-sites.org***
  http://frauen-ratgeber.com***
  http://fritschiclean.ch***
  http://www.kfzeintragsservice.de***
  http://www.autometasuche.de.***
  http://www.s-w-services.co.uk***
  http://www.bodis.at***
  http://www.musikverein-grosswallstadt.de***
  http://tripplexwelt.de***
  http://www.weingut-giegerich.de***
  http://www.tenbrink-online.de***
  http://www.alphazip.com***
  http://www.kayaks.cz***
  http://galami.sk***
  http://galateainteriorismo.com***
  http://galixesol.com***
  http://www.gan-psifas.co.il***
  http://robertsandboles.co.nz***
  http://gazetaszkolna.edu.pl***
  http://gdri.si***
  http://generation80.be***
  http://www.georg-kuenzle.ch***
  http://giannifalco.com***
  http://gim24.icx.pl***
  http://giresuneczaciodasi.org.tr***
  http://girmantasphotography.com***
  http://giustiziasicura.org***
  http://glodowka.com.pl***
  http://202.162.97.63***
  http://brzozowa.v24.pl***
  http://goldpartner.pl***
  http://gomashie.com***
  http://go-modaru.21.com1.ru***
  http://gravesite.gr.funpic.org***
  http://www.gregorvandermark.com***
  http://grupoexpansiona.com***
  http://grupogolpe.com***
  http://ospkarlino.bulls.net.pl***
  http://3g-tech-industries.com***
  http://guia-aumento-penis.com***
  http://guia-femenina.com***
  http://guia-feminina.com***
  http://guia-ipc.com***
  http://guida-allungamento-pene.com***
  http://guide-agrandissement-penis.com***
  http://guide-feminin.com***
  http://jewelrytools.boo.pl***
  http://gustavomendonca.com***
  http://gusts.net***
  http://www.hanyungprinting.co.uk***
  http://hawaiicandy.com***
  http://hellsquad.net***
  http://www.hellsquad.net***
  http://hostalhispanico2.com***
  http://hostalhispanico.com***
  

Скачанный файл сохраняется под случайным именем, состоящим из цифр и расширения «.exe», в следующую папку:

  %WinDir%\exefqd

Затем он запускается на исполнение.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.