Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 417792 байта. Упакована при помощи UPX. Распакованный размер – около 439 КБ. Написана на С++.
Инсталляция
После активации троянец копирует свое тело в каталог автозагрузки текущего пользователя Windows: %Documents and Settings%\\Main Menu\Programs\Startup\uninstall.exe
Деструктивная активность
После перезагрузки зараженного компьютера троянец извлекает из своего тела файл с именем из следующего списка: %Documents and Settings%\\Application Data\svchosts.exe
%Documents and Settings%\\Application Data\taskmon.exe
%Documents and Settings%\\Application Data\rundll.exe
%Documents and Settings%\\Application Data\service.exe
%Documents and Settings%\\Application Data\sound.exe
%Documents and Settings%\\Application Data\upnpsvc.exe
%Documents and Settings%\\Application Data\lsas.exe
%Documents and Settings%\\Application Data\logon.exe
%Documents and Settings%\\Application Data\helper.exe
%Documents and Settings%\\Application Data\event.exe
%Documents and Settings%\\Application Data\dumpreport.exe
%Documents and Settings%\\Application Data\msiexeca.exe
Данный файл имеет размер 404992 байта и детектируется Антивирусом Касперского, как Trojan-Downloader.Win32.Agent.aoth.
Для автоматического запуска при каждом следующем старте системы троянец создает ссылку на извлеченный файл в ключе автозапуска системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "" = ""
где - имя, выбранное из списка: CrashDump EventLog Init lsass Regscan RunDll Setup Sound svchosts System TaskMon UPNP Windows
- путь к извлеченному файлу из списка указанного выше.
По завершению работы троянец удаляет свое оригинальное тело и копию "%Documents and Settings%\\Main Menu\Programs\Startup\uninstall.exe".
Данная троянская программа не работает на операционной системе Windows с русской локализацией.
