Вредоносная программа, предназначенная для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву.
Вредоносная программа, предназначенная для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву.
Инсталляция
При запуске программа копирует свой исполняемый файл в следующий каталог:
C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exeДля автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"12CFG914-K641-26SF-N32P" = "
name="doc3">
Деструктивная активность
Вредоносная программа внедряет свой код в адресное пространство процесса explorer.exe, внутри которого соединяется с электронным адресом
jiri.alwaysproxy4.info:1199При успешном подключении программа принимает от злоумышленника сетевой адрес, с которым впоследствии соединяется. Далее программа начинает работать в роли прокси-сервера, т.е. пересылает все сетевые пакеты, полученные от злоумышленника на этот сетевой адрес, а также в обратном направлении.
Таким образом, злоумышленник может создавать сетевые соединения с удаленными серверами через зараженный компьютер.