Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.
Инсталляция
После запуска троянец создает в папке %System%\drivers файл драйвера:
runtime.sys
Данный файл имеет размер 171948 байт и детектируется Антивирусом Касперского Trojan-PSW.Win32.Osmer.f.
Троянец инсталлирует службу с именем "runtime", которая будет загружаться при входе пользователя в систему:
[HKLM\System\CurrentControlSet\Services\runtime]
"ImagePath" = "%System%\drivers\runtime.sys"
"Type" = "dword:0x00000001"
"Start" = "dword:0x00000003"
Для определения своего присутствия в системе троянец создает уникальный идентификатор:
y8w.61T_i0b_Q3f.l4R7
Деструктивная активность
При запуске троянец открывает Internet Explorer и производит запись своего кода в его адресное пространство.
После чего загружает файл по следующей ссылке:
http://207.218.***.**/40e800142......
На момент создания описания по данной ссылке загружался файл размером 91656 байт, содержащий в себе следующие вредоносные файлы:
0.bin
Данный файл имеет размер 32256 байт и детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.dyc. 1.bin
Данный файл имеет размер 25472 байта и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.ici. 2.bin
Данный файл имеет размер 59392 байта и детектируется Антивирусом Касперского как Email-Worm.Win32.Agent.cg.
После загрузки троянец запускает данные файлы на исполнение и удаляет свой исходный файл.
Данная система используется для построения бот сетей с целью рассылки спам сообщений.