Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.
Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\digiwet.dllДля автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл к значению "SecurityProviders" ключа автозапуска системного реестра:
Программа соединяется с сервером
http://78.109.29.112.ruНа который отправляет запрос следующего вида(некоторые данные в запросе могут меняться):
\Temp\wpv<rnd>.exe и запускает.Далее программа отправляет второй запрос следующего вида(некоторые данные в запросе могут меняться):