Исполняемый файл является загрузчиком, написан на Delphi, размер - 308 кб, на текущий момент известно 8 разновидностей. Устанавливает программу-обманку, которая являясь якобы антивирусом находит массу несуществующих угроз и предлагает вылечить их за деньги.
В случае запуска:
1.Может выдать окно, якобы сообщение об ошибке. Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки
2. Обращается к сайту :http:www.winreanimator.com и загружает с него несколько ZIP архивов
3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов. Далее в папке WinReanimator создаются файлы WinReanimator.exe, WinReanimator.dll, pthreadVC2.dll, un.ico, install.exe, htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll, msvcp80.dll, msvcr80.dll) и папка DATA, в которой находится файл, судя по сигнатурам похожий на урезнанную базу от CLAM Antivirus. install.exe - это копия загрузчика зловреда
4. WinReanimator.exe прописывается в автозапуск
Созданный загрузчиком на диске WinReanimator после установки запускается, "сканирует" систему. На эталонной системе Windows XP SP2 он "находит" 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для "лечения" необходимо купить программу ... За счет автозапуска процесс "сканирования" повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор