Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.
Деструктивная активность
После активации троянец производит расшифровку и внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:
{BD96C556-65A3-11D0-983A-00C04FC29E36}
Используя уязвимость в ActiveX компоненте "XMLHTTP", троянец загружает файл со следующего URL:
http://o*****1wy.com/no/top.exe
На момент создания описания по данной ссылке скачивался файл размером 34156 байт и детектирующийся Антивирусом Касперского как Trojan-Downloader.Win32.Satray.al.
Если первые два байта загружаемого файла соответствуют "MZ", то троянская программа, используя уязвимость компонента "ADODB.Stream", сохраняет скачанный файл во временный каталог текущего пользователя Windows под именем "top.exe":
%Temp%\top.exe
После чего троянец приостанавливает свою работу на 5 секунд. Затем скачанный файл запускается на выполнение.