Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение.
Деструктивная активность
После активации троянец производит расшифровку и внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:
{BD96C556-65A3-11D0-983A-00C04FC29E36}
Используя уязвимость в ActiveX-компоненте «XMLHTTP», троянец загружает файл со следующего URL:
http://cool*****55.com/vvv/rss.dll
На момент создания описания по данной ссылке скачивался файл размером 5120 байт, детектирующийся Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.ccd.
Используя уязвимость в ActiveX-компоненте «ADODB.Stream», троянец сохраняет скачанный файл в корневой каталог Windows под двумя именами:
%WinDir%\WinHttp.dll
%WinDir%\KB726255.log
Также троянец создает следующие значения параметров реестра:
[HKLM\Software\Classes\CLSID\{36CD708B-6077-4C02-9377-D73EAA495A0F}] "(default)" = "HTTP Execute Hooks" [HKLM\Software\Classes\CLSID\{36CD708B-6077-4C02-9377-D73EAA495A0F}\InprocServer32] "(default)" = "%WinDir%\WinHttp.dll" [HKLM\Software\Classes\CLSID\{36CD708B-6077-4C02-9377-D73EAA495A0F}\InprocServer32] "ThreadingModel" = "Apartment" HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ {36CD708B-6077-4C02-9377-D73EAA495A0F}] "(default)" = ""