Троянец, который устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя.
Деструктивная активность
Троянец расшифровывает и извлекает из своего тела в системный каталог Windows файл размером 46080 байт. Имя файла выбирается произвольным образом из следующего списка:
nptotect.exe alg.exe peverify.exe makehm.exe dw.exe mc.exe undname.exe mdm.exe ranlib.exe vmwareeufad.exe vnetlib.exe vnetstats.exe deviceemulator.exe sevinst.exe ccapp.exe windres.exe res2coff.exe objcopy.exe gcc.exe gcc.exe dllwrap.exe ccc.exe hypertrm.exe uedit32.exe regwiz.exe wabmig.exe navw32.exe conf.exe actcontroller.exe umdh.exe kdbgctrl.exe i386kd.exe cdb.exe breakin.exe 7z.exe alunotify.exe lsetup.exe ndetect.exe symantecroot.exe luinit.exe idaw64.exe idag.exe ia64kd.exe pdbcopy.exe symstore.exe symchk.exe hhupd.exe hhw.exe flash.exe codeblocks.exe
Созданный файл детектируется Антивирусом Касперского как Email-Worm.Win32.Mydoom.bj.
Также троянец прописывает распакованный файл в ключ автозагрузки, добавляя его имя в конец ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"
Затем файл запускается на исполнение.
Также троянец запускает на исполнение файл из своей рабочей папки — «%WorkDir%\TestPolymorph.exe» (в случае его наличия) и завершает свою работу.