%USERPROFILE%/ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.bf

На забавный вирус сегодня наткнулся. Хранится как сабж, на вирустотал определяется 13 антивирусниками эвристикой (т.е. неизвестный, но подозрительный).
Size=3009
MD5=A2EEB1505D721F575791C1A9601190EF
Но чего нигде не нашел в сети, так это то, что он удаляет стандартную службу "DHCP-Клиент" и вместо неё ставит свою службу "Dhcp" с параметром запуска "%USERPROFILE%/iexplore.exe". Соотв. сеть на компе если DHCP - падает, винда при нерабочей службе клиента DHCP просто безуспешно пытается получить IP. К сожалению AVZ не смог обработать такую ситуацию и не определил подмену службы, вручную искать пришлось.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Пардон, только сейчас заметил. Меняет он путь службы на %USERPROFILE%/iexpIore.exe

Пришлите этот файл в zip-архиве с паролем virus по ссылке:
[url]http://virusinfo.info/upload_virus.php?tid=20934[/url]

Файл сохранён как 080403_042801_virus_47f4a321db405.zip
Размер файла 3348
MD5 b5a225feb60802560e7f7756c9bdb7fd

Я его еще отправлял через сайт z-oleg.com и на [email][email protected][/email]

Троян Downloader. В нем есть адрес файла (лежит на 58.65.239.42) со списком адресов различных вредоносных программ в сети:
Worm.Win32.Socks.au
Trojan.Win32.DNSChanger.bov
Trojan.PWS.Ibank
Trojan.DownLoader.49586
Trojan.Sentinel
BackDoor.Bech
Trojan.DownLoader.29490
Trojan.DownLoader.55512
Adware.Bho
Trojan.Spambot.3086
Trojan.MulDrop.11807

Ответ аналитиков ie_updates3r.exe_ -[B] Trojan-Downloader.Win32.Winlagons.bf[/B]

Ответ от ЛК:

ie_updates3r.exe_ - Trojan-Downloader.Win32.Winlagons.bf
Детектирование файла будет добавлено в следующее обновление.