После запуска троян обращается на иной сервер, откуда он получает зашифрованный конфигурационный файл. В этом файле содержатся ссылки на неодинаковые партнерские приложения, какие тоже загружаются из Интернета и запускаются на инфицированном компьютере, а также на рекламное и начистоту вредоносное ПО: настолько, вирусным аналитикам знаменито о том, что Trojan.LoadMoney.336 загружает троянца Trojan.LoadMoney.894, какой, в свою очередность, скачивает Trojan.LoadMoney.919 и Trojan.LoadMoney.915, а завершающий загружает и устанавливает на зараженной машине Trojan.Zadved.158. После запуска троян выполняет линия манипуляций в системе, дабы облегчить собственную работу и затруднить свое опознание среди иных орудующих процессов. В частности, он возбраняет завершение работы Windows, возвращая при попытке выключения компьютера оплошку «Выполняется загрузка и установка обновлений». После успешной инициализации Trojan.LoadMoney.336 ожидает остановки курсора мыши, затем запускает две собственные копии, а отправной файл удаляет. Троян собирает на зараженном компьютере и передает злоумышленникам вытекающую информацию:
версия операционной системы;
сведения об введенных антивирусах;
сведения об введенных брандмауэрах;
сведения об введенном антишпионском ПО;
сведения о модели видеоадаптера;
сведения об объеме оперативной памяти;
данные о жестких дисках и водящихся на них разделах;
данные об ОЕМ-производителе ПК;
сведения о молодчике материнской платы;
сведения о позволении экрана;
сведения о версии BIOS;
сведения о присутствии лев администратора у пользователя текущей учетной записи Windows;
сведения о приложениях для открытия файлов *.torrent;
сведения о приложениях для открытия magnet-ссылок.
Источник: Доктор Веб
