Троянская программа-загрузчик, которая скачивает из сети Интернет другие вредоносные программы и рекламу.
Деструктивная активность
После запуска троянец создает уникальный идентификатор «WindowsUpdate» для определения своего присутствия в системе. Если такой идентификатор уже существовал, программа завершает свою работу.
Троянец считывает конфигурацию из файла update.dat, который должен находиться в папке с самой троянской программой. В файле конфигурации находится список выполняемых трояном действий, которые могут быть одними из следующих:
1. Запуск процесса IEXPLORE с заданным URL в командной строке.
2. Добавление параметров в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
3. Изменение значения параметра следующего ключа реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"
4. Добавление новых URL в папку «Избранное».
5. Загрузка файлов из интернета.
6. Показ всплывающих окон с отображенными в них HTML-страницами, которые находятся в файлах, предварительно скачанных из интернета.
7. Запуск исполняемых файлов.
Также троянец создает следующий ключ в системном реестре:
[HKLM\Software\Lamp]
В подразделах этого ключа троянец хранит информацию о времени работы программы, времени загрузки последней конфигурации и другую служебную информацию.