Показать сообщение отдельно
Старый 23.04.2010, 20:07   #4
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 48
Tuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордится
По умолчанию

Worm.Win32. Pinit.ft

22 апреля, 2010


Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ.
Инсталляция

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PromoReg" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.

Также программа создает следующее значение ключа реестра:
[HKСU\Microsoft\Windows\CurrentVersion\Explorer]
"WINID"="1CA889455CF9DCC"

Деструктивная активность

Cкачивает из интернета файлы по следующим электронным адресам:
http://enewwindows.com/cd/cd.php
http://yourwindowsvista.com/cd/cd.php
http://windowsups.cn/cd/cd.php
Сохраняет их в папке %Temp% под произвольными именами и запускает. На момент проведения экспертизы данные ссылки были недоступны.

Также программа сохраняет время, в которое происходила загрузка в лог-файле
%Temp%\fdshsa873gf.tmp
__________________
Tuflya07 вне форума   Ответить с цитированием