Троянская программа-загрузчик. Без ведома пользователя скачивает из Интернета программное обеспечение и запускает его.
Деструктивная активность
При запуске программа создает поток для работы с брандмауэром ОС Windows, который утвердительно отвечает на запросы брандмауэра о разрешении сетевой активности для троянского приложения. Поток постоянно сканирует систему в поиске окон содержащих в своем заголовке такие строки:
Warning: Components Have Changed Hidden Process Requests Network Access
Если такие окна существуют, программа имитирует нажатие мышки на кнопку «OK», которая размещена на этих окнах.
Так же программа ищет в системе окно с заголовком:
Windows Security Alert
Если находит, то имитирует нажатие на кнопку «Unblock», размещенную на этом окне.
Так же если в системе существует окно с заголовком:
Create rule for <имя_тоянского_файла.exe>
Программа имитирует выбор в этом окне опции «Allow all activities for this application» и нажатие на кнопку «OK».
После этого поток ищет окно с заголовком «PermissionDlg», имитирует выбор в этом окне опции «Remember this answer the next time I use this program» и нажатие на кнопку «Yes» в этом окне.
Кроме этого троянец выполняет следующие действия:
Cоздает следующий параметр в ключе системного реестра Windows:
[HKCU\Software\Microsoft\Windows\CurrentVersion] "adv579"="adv579"
В различных вариантах данного троянца значение указанного параметра может быть другим.
Пытается скрыть свой процесс из списка процессов с помощью вызова скрытой функции ОС Windows 98 — RegisterServiceProcess.
Ждет соединения с интернетом, после чего загружает файл, находящийся по адресу: http://tool***dollars.biz/dl/dl.php?adv=adv579
и сохраняет его в каталог %WinDir%/uniq/.
Далее троянец загружает из интернета на компьютер пользователя следующие файлы:
http://tool***dollars.biz/progs/kl.txt http://tool***dollars.biz/progs/country.php http://tool***dollars.biz/progs/it.txt http://tool***dollars.biz/progs/secure32.php http://tool***dollars.biz/progs/paytime.txt http://tool***dollars.biz/progs/toolbar.txt http://tool***dollars.biz/progs/tool1.txt http://tool***dollars.biz/progs/tool2.txt http://tool***dollars.biz/progs/tool3.txt http://tool***dollars.biz/progs/tool4.txt http://tool***dollars.biz/progs/tool5.txt http://tool***dollars.biz/progs/ms1.txt http://tool***dollars.biz/progs/hosts.txt
и сохраняет их под следующими именами:
%WinDir%\kl.exe %WinDir%\country.exe %WinDir%\countrydial.exe %WinDir%\secure32.html %System%\paytime.exe %WinDir%\toolbar.exe %WinDir%\tool1.exe %WinDir%\tool2.exe %WinDir%\tool3.exe %WinDir%\tool4.exe %WinDir%\tool5.exe %WinDir%\ms1.exe %WinDir%\hosts
После чего загруженные файлы запускаются на исполнение.