Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.
Инсталляция
После запуска троянец копирует свое тело в каталог программ Windows под именем "lsass.exe":
%Program Files%\Microsoft Studio Files\lsass.exe
Для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"lsass" = "%Program Files%\Microsoft Studio Files\lsass.exe"
Далее троянец в своем каталоге установки создает файл командного интерпретатора "vcdg.bat":
%Program Files%\Microsoft Studio Files\vcdg.bat
в который записывает следующие строки:
netsh.exe firewall add allowedprogram PROGRAM="%Program Files%\Microsoft Studio
Files\lsass.exe" NAME="Session Win32" MODE=ENABLE PROFILE=ALL
Таким образом, троянец добавляет настройку в конфигурацию файервола Windows XP, которая разрешает выполнение любой сетевой активности для вредоносного процесса.
Затем файл "%Program Files%\Microsoft Studio Files\vcdg.bat" запускается на выполнение.
На перекрестке науки и фантазии — наш канал