Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер около 17 КБ. Упакована при помощи UPack, размер распакованного файла — около 258 КБ. Инсталляция После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файл arm32.dll. Файл имеет атрибут «скрытый». Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы): [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg] "Asynchronous"="dword: 0x00000001" "DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\arm32.dll" "Startup"="arm32reg" "Impersonate"="dword: 0x00000001" Троянец непрерывно проверяет наличие данного ключа реестра и восстанавливает его в случае ручного удаления. Деструктивная активность Троян загружает с сайта злоумышленника файл конфигурации, необходимый для своей работы и сохраняет его в следующую папку: %Documents and Settings%\%All Users%\%Common Documents%\Settings\desktop.ini После этого троянец запускает процесс iexplore.exe и внедряет в него свой код. Данный процесс открывает произвольный TCP-порт в системе. После чего номер открытого порта троянец отправляет злоумышленнику. Таким образом злоумышленник получает возможность работать в сети от имени зараженного компьютера без ведома пользователя. securitylab.ru
