Trojan.Promo
(IRC-Worm.Win32.Nowim, TR/Crypt.FKM.Gen, Generic4.NYP, Parser error, IRC.Worm.gen, TR/Crypt.CFI.Gen, PAK_Generic.001, WORM/Rbot.Gen, Generic.Malware.SIBdld.93F34DD4, Downloader.Small.212, Download.Trojan, IRC-Worm/Nowim.A, W32/Nowim.worm, Win32/Small, Trojan.Downloader.Small.OS, W32.SillyIRC, TR/Sced.A, Downloader.Small.9.AK, Trojan Horse, Gen:Packer.Generic, horse Sced.A, Win32/Slill.A!Worm, Worm/Nowim.A, Trojan-Downloader.Win32.Small.os, TR/Crypt.PEPM.Gen)
Описание добавлено:
2006-01-31
Тип вируса:
Троянская программа
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 53 824 байт
Упакован: PEC2
Техническая информация
Будучи запущенным, копирует себя в C:\Windows\System32\Drivers\Winlogon.exe
Для обеспечения своей загрузки при каждом старте ОС Windows, вносит свои данные в секцию системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"service"=C:\Windows\System32\Drivers\Winlogon.exe -srv
Отображает свою иконку в системном трее.
Регистрируется на сайте http://1[skipped].[skipped]/install.php, где пользователю выдаётся идентификационный номер. После чего скачивает рекламу по адресу http://1[skipped].[skipped]/gettext.php?bill=<выданный при регистрации идентификационный номер>.
При переходе по ссылке http://1[skipped].[skipped]/gettext.php?bill=&id=user_id
пользователь получает рекламное сообщение отправить с мобильного телефона SMS. Отправка SMS является платной.
Периодически открывает рекламируемый сайт. Отписаться от получения рекламы можно двойным кликом по иконке в системном трее.
