Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является сценарием языка Visual Basic Script. Имеет размер 3252 байта.
name="doc3">
Деструктивная активность
После запуска троянец создает каталог:
Где:\
- произвольная последовательность букв латинского алфавита, например "VPAVQXCUUNGUFLTJSLNAU" или "CXHCXEKBBUOBMTA"-
- путь к каталогу "Мои документы" для текущего пользователя, который, троянец получает из ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Далее троянец загружает файл со следующего URL адреса:
Explorer\Shell Folders\Personal]
http://for****-at.info/PCDefenderSilentSetup.msiНа момент создания описания ссылка не работала.
Сохраняет загруженный файл в созданном каталоге под именем:
Где\ \
После этого троянец проверяет, включен ли UAC из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\И если он выключен, то троянец выполняет установку скачанного файла в тихом режиме, без взаимодействия с пользователем, в противном случае пытается запустить на выполнение с повышением привилегий.
Policies\System\EnableLUA]
Для автоматического удаления каталога со скачанным файлом троянец создает запись в системном реестре, которая будет выполнена при следующем старте системы:
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"delpcdefmsi"="cmd /c rmdir /s /q\ "