23.04.2010, 20:07
|
#4
|
Гуру
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 48
|
Worm.Win32. Pinit.ft
22 апреля, 2010
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ.
Инсталляция
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PromoReg" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.
Также программа создает следующее значение ключа реестра:
[HKСU\Microsoft\Windows\CurrentVersion\Explorer]
"WINID"="1CA889455CF9DCC"
Деструктивная активность
Cкачивает из интернета файлы по следующим электронным адресам:
http://enewwindows.com/cd/cd.php
http://yourwindowsvista.com/cd/cd.php
http://windowsups.cn/cd/cd.php
Сохраняет их в папке %Temp% под произвольными именами и запускает. На момент проведения экспертизы данные ссылки были недоступны.
Также программа сохраняет время, в которое происходила загрузка в лог-файле
%Temp%\fdshsa873gf.tmp
__________________
|
|
|