Троянская программа является приложением Windows (PE EXE-файл).
name="doc3">Деструктивная активность |
При запуске программа получает список запущенных в системе процессов и пытается завершить процессы со следующими именами:
После этого с интервалом в 1 секунду производит попытки соединения с адресом core.***che-evolution.com. Если соединение удается, троянец посылает на сервер следующий запрос:
В ответ на этот запрос сервер присылает в зашифрованном виде список ссылок на файлы в интернете. Троянец скачивает эти файлы, сохраняет их в каталог %WinDir%, после чего запускает их на выполнение.