Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома.
Инсталляция
При запуске троянец перемещает файл «%WinDir%\Fonts\wuauclt.exe» и сохраняет его под именем:
c:\ss.tmp
Далее копирует свой исполняемый файл под именем:
%WinDir%\Fonts\wuauclt.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"360safe" = "%WinDir%\Fonts\wuauclt.exe"
Деструктивная активность
Троянец выполняет следующие действия:
* изменяет значения следующих ключей системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://www2.07129.com/"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-
08002B30309D}\shell\OpenHomePage\Command]
"(Default)" = ""C:\Program Files\Internet Explorer\iexplore.exe" www2.07129.com"
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1"
Это приводит к изменению стартовой и домашней страницы Internet Explorer на «http://www2.07129.com/» .
* извлекает из своего тела файл и сохраняет его под именем:
%WinDir%\Downloaded Program Files\alg.exe
Данный файл имеет размер 3740 байт и детектируется Антивирусом Касперского как Exploit.Win32.IMG-WMF.fk
* запускает созданный файл с параметром «http://***wuc8.com/aa.exe»
* извлекает из своего тела файл и сохраняет его под следующим именем, после чего запускает на исполнение:
%WinDir%\Fonts\TIMPIatform.exe
Данный файл имеет размер 12288 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.bpeh
Кроме того каждые 25 минут троянец открывает в окне Internet Explorer ссылки:
http://joke.lia***9.com/
http://msm.moneyinf***.com/