not-virus:Hoax.Win32.Avgold.d

not-virus:Hoax.Win32.Avgold.d («Лаборатория Касперского») также известен как: Spyre (McAfee), Trojan.Fakealert (Doctor Web), TROJ_TOPANTSPY.E (Trend Micro), ADPSY/AntiGold (H+BEDV), Adware/Antivirus-gold (Panda), Win32/TopAntiSpyware (Eset)

Потенциально нежелательная программа — «шутка» рекламного характера.

Написана на Visual C++, ничем не упакована. Размер файла — 36864 байт.

Инсталляция

При запуске копирует себя в системную директорию под именем hookdump.exe.

Добавляет ссылку на этот файл в реестр для автозагрузки:

  
  [HKEY_CURRENT_USER\Software\Microsoft\
  Windows\CurrentVersion\Run]
   "Intel system tool"="C:\WINNT\System32\hookdump.exe"

Создает в директории Windows файл screen.html (размер 1516) с обманным текстом, сообщающим, что данный компьютер заражен вирусами и предлагающим для их лечения зайти на сайт http://www.antivirus*****.com.

Действия

Создает в трее иконку в виде белого крестика на красном фоне, при правом клике на которую выводится текст:

Также выводит этот текст время от времени по таймеру.

При левом клике на иконку открывается Internet Explorer с сайтом http://www.antivirus*****.com.