Троянская программа, изменяющая без ведома пользователя стартовую страницу в настройках web-браузера Microsoft Internet Explorer.
Программа является приложением Windows (PE EXE-файл). Упакована NsPack. Размер файла 7241 байт. Написана на языке C++.
Деструктивная активность
После запуска троянская программа создает следующую запись в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "PayTime"="%System%\paytime.exe"
Однако данный троянец не создает в системном каталоге Windows файл с именем paytime.exe, поэтому автоматического запуска троянца при старте операционной системы производиться не будет. Однако файл paytime.exe может быть создан другими троянскими программами.
Троянец пытается скрыть свой процесс в системе с помощью функции Windows98 — RegisterServiceProcess.
Далее троянец циклически с интервалом в 5 секунд делает следующие действия: копирует файл %System%\secure32.html (если такой существует) в C:\secure32.html, после чего перезаписывает параметры следующих ключей реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main] [HKLM\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL" = "c:\secure32.html" "Local Page" = "c:\secure32.html" "Start Page" = "c:\secure32.html"
Файл %System%\secure32.html может быть предварительно загружен другой троянской программой.