Троянская программа, которая загружает на компьютер без ведома пользователя файлы из сети Интернет и запускает их на исполнение.
Деструктивная активность
При запуске троянец открывает при помощи браузера следующую ссылку:
http://www.postcard.ru/
Вирус запускает копию системного процесса «svchost.exe» и внедряет в него свой код, который скачивает файлы по следующим ссылкам:
http://www.*****publicidad.com/images/images.php?w=1 http://www.*****publicidad.com/images/images.php?w=2 http://www.*****publicidad.com/images/images.php?w=3 http://www.*****publicidad.com/images/images.php?w=4
Данные файлы сохраняются в рабочей папке троянца под соответствующими именами:
* win1ogon.exe — имеет размер 11305 байт, детектируется антивирусом Касперского как Trojan-Spy.Win32.Iespy.ag; * mshelper.exe — имеет размер 43008 байт, детектируется антивирусом Касперского как Trojan-Proxy.Win32.Daemonize.cf; * dxinstall.exe — имеет размер 51200 байт, детектируется антивирусом Касперского как Email-Worm.Win32.Bagle.is; * msofficer.exe — имеет размер 245760 байт, детектируется антивирусом Касперского как Backdoor.Win32.Delf.akw.
После успешной загрузки файлы запускаются на исполнение.
По окончании своей работы вирус удаляет собственный исполняемый файл.
На перекрестке науки и фантазии — наш канал