Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\<rnd>.exeА также извлекает из себя и создает следующие файлы:
%WinDir%\system32\<rnd>.src<rnd> – произвольная последовательность из символов латинского алфавита.
%WinDir%\system32\<rnd>.bmp
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
Вредоносная программа проверяет наличие соединения с интернетом, обрашаясь к электронному адресу windowsupdate.microsoft.com, в случае успеха программа скачивает и запускает файл по ссылке
На момент составления описания ссылка была недоступна, но есть основания полагать, что ранее на ней распологалось нежелательное программное обеспечение(not-a-virus:FraudTool), которое сообщает пользователю о наличии на компьютере вредоносных программ(даже если их на компьютере нет) и предлагает перечислить финансовые средства на определенные счета для оплаты лечения компьютера от этих программ. Также программа устанавливает фоновым рисунком рабочего стола следующее изображение:
Программа отсылает отчет по своей работе на электронный адрес
http://www.winifixer.com/log2.phpПри этом указывая в отчете все успешно произведенные действия, а также следующую информацию о компьютере пользователя: