Бесплатные антивирусы

Другие модификации: A, V
Запуск

После запуска троян создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файлы polymorph.dll и desktop.ini. Файлы скрытый.

Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы):

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\polymorphreg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\ polymorph.dll"
"Startup"="polymorphreg"
"Impersonate"="dword: 0x00000001"

Непрерывно проверяет наличие данного ключа реестра и восстанавливает его в случае ручного удаления.
Действие

Троян позволяет злоумышленнику работать в сети от имени «зараженного» хоста без ведома пользователя.

Зараженная машина может стать частью сети таких же машин и быть использована для рассылки спама и вредоносных программ.

При старте системы загружается библиотека, запускающая резидетнный инфицированный процесс IEXPLORE.EXE. Данный процесс открывает произвольный TCP-порт в системе. После чего посылает уведомление на maila.microsoft.com.

Троян пытается получить доступ в интернет к адресу:

66.36.***.132

Источник информации stopvirus.ru