Вредоносная программа, заражающая исполняемые файлы на компьютере пользователя.
Инсталляция
После запуска вирус создает в системном каталоге Windows следующие библиотеки:
%System%\d3d8xof.dll – имеет размер 3072 байта
%System%\d9dx.dll – имеет размер 20480 байт
Также вирус создает в системном реестре следующие ключи:
[HKCR\Software\Google]
[HKCR\Software\Intel]
Для определения своего присутствия в системе вирус создает уникальный идентификатор:
__DL_CORE5_MUTEX__
Деструктивная активность
После запуска вирус производит запись своего кода в адресное пространство системного процесса "explorer.exe". После чего инфицированный процесс ищет все файлы с расширением .exe и дописывает в конец найденных файлов код вируса.
Поиск не производится в папках со следующими именами:
Windows
WINNT
Local Settings\Temp
Также не инфицируются следующие файлы:
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe
Также вирус имеет возможность загружать другие вредоносные программы на компьютер пользователя, предназначенные для кражи паролей к онлайн-играм. Для этого отсылает запрос с указанием параметров зараженной системы (на момент создания описания данные ссылки не работали):
http://message.microsofte.in/counter.asp?action*****
http://imrw0rldwide.com/DL/counter.asp?action*****
Сбалансированная диета для серого вещества