Программа является приложением Windows (PE EXE-файл). Имеет размер 352256 байта. Написана на С++.
Деструктивная активность
После запуска троянец ждет соединения с интернетом, после чего выполняет следующие действия:
*отправляет информацию о времени установки троянского компонента накомпьютер пользователя в зашифрованном виде на следующий URL:
www.clickspring.net/p***/.....
* скачивает в зашифрованном виде по HTTP-протоколу конфигурацию для работы по следующей ссылке:
campaigns.*****info.com/campaigns.encrypted
Скачанные данные сохраняются в файл campaigns.txt, который находится в кеше браузера Internet Explorer.
После этого троянец скачивает по HTTP-протоколу файлы из полученной конфигурации по следующей ссылке:
campaigns.*****info.com/campaigns.....
Файлысохраняются в кеше веб-браузера Internet Explorer. Содержимое этихфайлов — графическая информация в упакованном виде, имеющая рекламноесодержание.
Данные из скачанных файлов троянец позже использует для показа пользователю всплывающих окон с рекламой.
Другие названия
Trojan-Downloader.Win32.PurityScan.d(«Лаборатория Касперского») также известен как:TrojanDownloader.Win32.PurityScan.d («Лаборатория Касперского»),Trojan.ValueAd (Doctor Web), Troj/PurScan-D (Sophos),TrojanDownloader:Win32/PurityScan.D (RAV), TR/Dldr.PurityScn.D(H+BEDV), Win32:PurityScan-D (ALWIL), Downloader.Purityscan.K(Grisoft), Trojan.Dropper.Purityscan.I (ClamAV), Adware/PurityScan(Panda), Win32/TrojanDownloader.PurityScan.D (Eset)