Троянская программа. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 1729 байт.
Деструктивная активность
При запуске создает каталог с именем:
%WinDir%\ehome
Далее троянец загружает файл по следующим ссылкам:
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011617.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011618.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011619.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011620.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011621.swf
http://yici.g***60.com/images/uploadfile/uploadfile/swf33/
2008-3/200899172011622.swf
На момент создания описания ссылки не работали. Скачанные файлы сохраняются под следующими именами соответственно:
%WinDir%\ehome\cacls.vbs
%WinDir%\ehome\cacls.exe
%WinDir%\ehome\cacls.bat
%WinDir%\ehome\cacls1.exe
%WinDir%\ehome\cacls1.bat
%WinDir%\ehome\ca.bat
После этого троянец запускает файл «%WinDir%\ehome\cacls.vbs», удаляет свой исполняемый файл и завершает свою работу.
0 коммент.:
Отправить комментарий