Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 79360 байт. Написана на С++.

Инсталляция

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"RunWindowsUpdate" = "<путь к исполняемому файлу трояна>"

Деструктивная активность

После запуска троянец создает ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunWindowsUpdate]

"Gid" = "026133246127060045718030656336"

Затем отправляет запрос следующего вида:

http://www.uptodate.browse*****.com/perl/uptodate.pl?action=any&gid=026133246127060045718030656336&clientversion=1.0.7_ST&county=&cls=&isof=00

При обращении к вышеуказанному URL добавляются параметры, в которых передается текущая версия троянской программы. Если новой версии для загрузки нет, сервер присылает ответ "", если есть более новая версия, - сервер присылает ссылку для загрузки более новой версии файла. Троянец скачивает обновленную версию и сохраняет во временный каталог в файл с именем:

%Temp%\_ps_inst.exe

После чего запускает его на выполнение.

Другие названия

Trojan-Downloader.Win32.Braidupdate.c («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Braidupdate.c («Лаборатория Касперского»), Trojan.Braid (Doctor Web), TROJ_BRAIDUPDT.C (Trend Micro), TR/Dldr.Braidupda.C (H+BEDV), Win32:Trojano-363 (ALWIL), Downloader.Braidupdate.C (Grisoft), Worm.WinUpToDate (ClamAV), Trj/Downloader.PO (Panda), Win32/TrojanDownloader.Braidupdate.C (Eset)