Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\wdfmgrnt.exe
Для автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "wdfmgrnt" = "%System%\wdfmgrnt.exe"
Деструктивная активность
Троянец запускает браузер Internet Explorer и внедряет в него код, который скачивает файлы по следующим ссылкам:
http://59.***.197.***/t21.exe
http://59.***.197.***/10050.exe
Скачанные файлы сохраняются в системном каталоге Windows:
* %System%\t21.exe — имеет размер 159905 байт; * %System%\10050.exe — имеет размер 155648 байт.
Затем скачанные файлы запускаются на исполнение.