Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.
Инсталляция
После запуска троянец копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\iexplorer.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IE" = "%WinDir%\iexplorer.exe"
Также троянец добавляет правило в брандмауэр Windows, которое разрешает любую сетевую активность для вредоносного процесса.
Деструктивная активность
Троянец скачивает файлы по следующим ссылкам:
http://www.site*****.com/top7_1.gif
http://www.site*****.com/top7_2.gif
http://www.sugo*****.kr/bbs/icon/private_name/top7_1.gif
http://www.sugo*****.kr/bbs/icon/private_name/top7_2.gif
На момент создания описания ни одна из ссылок не работала.
Скачанные файлы сохраняются под следующими именами:
C:\Documents and Settings\All Users\winsql.dat
C:\Documents and Settings\All Users\DirectX.aud
C:\Documents and Settings\All Users\services.exe
C:\Documents and Settings\All Users\comctl64.dll
В случае успешной загрузки файлы запускаются на выполнение.
Также троянец открывает следующую ссылку без ведома пользователя:
http://pag*****.terra.com.br/arte/sonhosepoemas/paixao/cartao059.htm