Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя.
Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя.
При запуске программа извлекает из себя и устанавливает в системе новый исполняемый файл, копируя его в системный каталог Windows:
%System%\dll32.dllДля автоматического запуска при каждом следующем старте системы программа добавляет ссылку на извлеченный исполняемый файл в ключ автозапуска системного реестра:
Установленная программа перехватывает все DNS запросы, содержащие одну из следующих строк:
“.ask.”Данные DNS запросы вредоносная программа отправляет на сервер rz-dns.com, в данный момент сервер недоступен, ранее он мог контролироваться злоумышленником.
“search.aol.”
“search.live.”
“search.msn.”
“search.yahoo.”
“google.”
“.sa.aol.com”
“.aolcdn.com”
“.autodatadirect.com”
“thumbnail.aspx”
“yahooapis.com”
“metacafe.com”
“.yimg.com”
“img.youtube.com”