Троянская программа-загрузчик, предназначенная для скачивания из интернета без ведома пользователя рекламной информации и ее отображения на экране зараженного компьютера.
Программа является приложением Windows (PE EXE-файл). Имеет размер 352256 байта. Написана на С++.
Деструктивная активность
После запуска троянец ждет соединения с интернетом, после чего выполняет следующие действия:
* отправляет информацию о времени установки троянского компонента на компьютер пользователя в зашифрованном виде на следующий URL:
www.clickspring.net/p***/.....
* скачивает в зашифрованном виде по HTTP-протоколу конфигурацию для работы по следующей ссылке:
campaigns.*****info.com/campaigns.encrypted
Скачанные данные сохраняются в файл campaigns.txt, который находится в кеше браузера Internet Explorer.
После этого троянец скачивает по HTTP-протоколу файлы из полученной конфигурации по следующей ссылке:
campaigns.*****info.com/campaigns.....
Файлы сохраняются в кеше веб-браузера Internet Explorer. Содержимое этих файлов — графическая информация в упакованном виде, имеющая рекламное содержание.
Данные из скачанных файлов троянец позже использует для показа пользователю всплывающих окон с рекламой.
Другие названия
Trojan-Downloader.Win32.PurityScan.d («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.PurityScan.d («Лаборатория Касперского»), Trojan.ValueAd (Doctor Web), Troj/PurScan-D (Sophos), TrojanDownloader:Win32/PurityScan.D (RAV), TR/Dldr.PurityScn.D (H+BEDV), Win32:PurityScan-D (ALWIL), Downloader.Purityscan.K (Grisoft), Trojan.Dropper.Purityscan.I (ClamAV), Adware/PurityScan (Panda), Win32/TrojanDownloader.PurityScan.D (Eset)