Троянская программа, которая загружает на компьютер файлы из сети Интернет без ведома пользователя и запускает их на исполнение.
Деструктивная активность
После запуска вирус непрерывно ищет в системе окна с именами класса «AVP.AlertDialog» и имитирует в них нажатия на кнопки «Разрешить», «Разрешить однократно», «Allow», «Skip», «Создать правило для», «Create rule for». Троянец закрывает окна с именем класса «AVP.Product_Notification».
Также троянская программа загружает файлы, расположенные по следующим ссылкам:
http://coco32.org/***/exp/reHzE4Is.php
http://coco32.org/***/ld2/1.jpg?0
http://coco32.org/***/ld2/0.jpg?0
http://coco32.org/***/ld2/1.jpg?1
http://coco32.org/***/ld2/0.jpg?1
http://coco32.org/***/ld2/1.jpg?2
http://coco32.org/***/ld2/0.jpg?2
http://coco32.org/***/ld2/1.jpg?3
http://coco32.org/***/ld2/0.jpg?3
http://coco32.org/***/ld2/1.jpg?4
http://coco32.org/***/ld2/0.jpg?4
http://coco32.org/***/ld2/1.jpg?5
http://coco32.org/***/ld2/0.jpg?5
http://coco32.org/***/ld2/1.jpg?6
http://coco32.org/***/ld2/0.jpg?6
http://coco32.org/***/ld2/1.jpg?7
http://coco32.org/***/ld2/0.jpg?7
http://coco32.org/***/ld2/1.jpg?8
http://coco32.org/***/ld2/0.jpg?8
http://coco32.org/***/ld2/1.jpg?9
http://coco32.org/***/ld2/0.jpg?9
http://coco32.org/***/ldr/pussy.php?0
http://coco32.org/***/ldr/pussy.php?1
http://coco32.org/***/ldr/pussy.php?2
http://coco32.org/***/ldr/pussy.php?3
http://coco32.org/***/ldr/pussy.php?4
http://coco32.org/***/ldr/pussy.php?5
http://coco32.org/***/ldr/pussy.php?6
http://coco32.org/***/ldr/pussy.php?7
http://coco32.org/***/ldr/pussy.php?8
http://coco32.org/***/ldr/pussy.php?9
Данные файлы сохраняются под случайными именами во временной папке Windows («%Temp%»). По мере скачивания они запускаются на исполнение.
На момент создания описания указанные ссылки не работали.
По завершении работы троянец удаляет свой исполняемый файл.