Троянская программа, выполняющая несанкционированное обращение к интернет-ресурсам без ведома пользователя.
Деструктивная активность
После открытия зараженной страницы троянец расшифровывает и запускает на выполнение вредоносные JS скрипты. В результате троянец производит внедрение в текущую HTML страницу два скрытых фрейма, при загрузке которых происходит обращение к интернет ресурсам расположенным по следующим ссылкам:
http://ru***.info/forum/index.php
http://***termediagroup.com/ts/in.cgi?reyden
При открытии первого URL, осуществляется перенаправление на ресурс:
http://ru***.info/forum/load.php?spl=mdac
с которого, во временный каталог текущего пользователя Windows загружается файл с именем:
%Temp%\winZSRyU7CpTw6D.exe
Данный файл имеет размер 20128 байт и детектируется Антивирусом Касперского как Trojan.Win32.SubSys.dr.
После выполнения скрытого обращения к интернет ресурсу:
http://***termediagroup.com/ts/in.cgi?reyden
происходит перенаправление и открытие в браузере пользователя файла скрипта "robo.php", который находится по ссылке:
http://***sm-movies.info/robo.php
Данный файл скрипт имеет размер 3121 байт и детектируется Антивирусом Касперского как Trojan-Clicker.HTML.IFrame.ql.