[Tuflya07]

Worm.Win32. Pinit.ft

22 апреля, 2010


Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ.
Инсталляция

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PromoReg" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.

Также программа создает следующее значение ключа реестра:
[HKСU\Microsoft\Windows\CurrentVersion\Explorer]
"WINID"="1CA889455CF9DCC"

Деструктивная активность

Cкачивает из интернета файлы по следующим электронным адресам:
http://enewwindows.com/cd/cd.php
http://yourwindowsvista.com/cd/cd.php
http://windowsups.cn/cd/cd.php
Сохраняет их в папке %Temp% под произвольными именами и запускает. На момент проведения экспертизы данные ссылки были недоступны.

Также программа сохраняет время, в которое происходила загрузка в лог-файле
%Temp%\fdshsa873gf.tmp