Троянская программа, выполняющая деструктивные действия на компьютере пользователя.
Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\mstmdm.dll
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Classes\CLSID\{E4D629C3-78D3-4597-AE36-CC394E39F934}\InprocServer32]
"default" = "%System%\mstmdm.dll"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"UpdateCheck" = {E4D629C3-78D3-4597-AE36-CC394E39F934}
Деструктивная активность
Троянец создает ключ реестра, в котором хранит свои настройки:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\StrtdCfg]
В процессе своей работы создает следующие файлы:
%WinDir%\1.txt
%System%\__1.dat
%WinDir%\system32\mswmpdat.tlb
%WinDir%\system32\winview.ocx
Троянец получает сетевые настройки в интернете по следующей ссылке:
http://livenews.*****.cx/update
После чего изменяет адреса DNS серверов текущего активного сетевого соединения на полученные из сети.