Trojan-Downloader.Win32. QQHelper.ay

Троянская программа-загрузчик, которая скачивает из сети Интернет другие вредоносные программы и рекламу. Программа является приложением Windows (PE EXE-файл). Имеет размер 118784 байта. Написана на языке С++.

Деструктивная активность

После запуска троянец создает уникальный идентификатор «WindowsUpdate» для определения своего присутствия в системе. Если такой идентификатор уже существовал, программа завершает свою работу.

Троянец считывает конфигурацию из файла update.dat, который должен находиться в папке с самой троянской программой. В файле конфигурации находится список выполняемых трояном действий, которые могут быть одними из следующих:

1. Запуск процесса IEXPLORE с заданным URL в командной строке.

2. Добавление параметров в ключ автозапуска системного реестра:

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

3. Изменение значения параметра следующего ключа реестра:

      [HKCU\Software\Microsoft\Internet Explorer\Main]
       "Start Page"

4. Добавление новых URL в папку «Избранное».

5. Загрузка файлов из интернета.

6. Показ всплывающих окон с отображенными в них HTML-страницами, которые находятся в файлах, предварительно скачанных из интернета.

7. Запуск исполняемых файлов.

Также троянец создает следующий ключ в системном реестре:

[HKLM\Software\Lamp]

В подразделах этого ключа троянец хранит информацию о времени работы программы, времени загрузки последней конфигурации и другую служебную информацию.