Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ.
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ.
Инсталляция
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"PromoReg" = "
Также программа создает следующее значение ключа реестра:
[HKСU\Microsoft\Windows\CurrentVersion\Explorer]"WINID"="1CA889455CF9DCC"
name="doc3">
Деструктивная активность
Cкачивает из интернета файлы по следующим электронным адресам:
http://enewwindows.com/cd/cd.phpСохраняет их в папке %Temp% под произвольными именами и запускает. На момент проведения экспертизы данные ссылки были недоступны.
http://yourwindowsvista.com/cd/cd.php
http://windowsups.cn/cd/cd.php
Также программа сохраняет время, в которое происходила загрузка в лог-файле
%Temp%\fdshsa873gf.tmp