Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.
Инсталляция
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\А также извлекает из себя и создает следующие файлы:.exe
%WinDir%\system32\.src
%WinDir%\system32\.bmp
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"
InstallationID"="c897a1ec-c72f-449a-9e19-646046128ace"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters]
"FirstRun" = 1
[HKCU\Control Panel\Colors]
"Background"="0 0 255"
[HKCU\Control Panel\Desktop]
"ConvertedWallpaper" = "WinDir%\system32\
"OriginalWallpaper" = "%WinDir%\system32\
"SCRNSAVE.EXE" = "%WinDir%\system32\
"Wallpaper" = "%WinDir%\system32\
"WallpaperStyle" = "0"
[HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
"GeneralFlags" = 4
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage" = 1
"NoDispScrSavPage" = 1
[HKCU\Software\Sysinternals\Bluescreen Screen Saver]
"EulaAccepted" = 1
name="doc3">
Деструктивная активность
Вредоносная программа проверяет наличие соединения с интернетом, обрашаясь к электронному адресу windowsupdate.microsoft.com, в случае успеха программа скачивает и запускает файл по ссылке
http://av-xp-2008.com//images/1263144754/132a071e5d1437b80c 401c6982d513a0/ c897a1ec-c72f-449a-9e19-646046128ace.gifНа момент составления описания ссылка была недоступна, но есть основания полагать, что ранее на ней распологалось нежелательное программное обеспечение(not-a-virus:FraudTool), которое сообщает пользователю о наличии на компьютере вредоносных программ(даже если их на компьютере нет) и предлагает перечислить финансовые средства на определенные счета для оплаты лечения компьютера от этих программ. Также программа устанавливает фоновым рисунком рабочего стола следующее изображение:
Программа отсылает отчет по своей работе на электронный адрес
http://www.winifixer.com/log2.phpПри этом указывая в отчете все успешно произведенные действия, а также следующую информацию о компьютере пользователя:
- Информацию об установленном на компьютере аппаратном обеспечении.
- Список запущенных процессов на момент запуска программы.