Trojan ten pobiera inny szkodliwy program za pośrednictwem Intrenetu i uruchamia go na zaatakowanej maszynie bez wiedzy czy zgody użytkownika. Ma postać pliku PE EXE o rozmiarze 9216 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 38KB). Szkodnik powstał w języku programowania C++.

Funkcje szkodnika

Trojan ten pobiera pliki z następujących adresów URL:

http://*****fdujt.info/?44ffa2
http://*****fdujt.info/i.php
http://*****fdujt.info/myh.php

W momencie tworzenia tego opisu odsyłacze te nie działały.

Pliki te zostaną zapisane w folderze tymczasowym systemu Windows użytkownika bieżącego z losowo wybranymi nazwami.

Trojan wysyła następnie zapytanie na następujące adresy:

http://195.24.77.***/utest/?*****74&oo=2&75f2d3=33985db&ra=0

Jeżeli serwer nie odpowie, trojan powtórzy próbę po sześciu minutach.

Trojan tworzy również unikatowy identyfikator, “S_SERV_v0.66_Beta_erf” w celu oflagowania swojej obecności w systemie.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
2. Usuń wszystkie pliki z %Temporary Internet Files%.
3. Opróżnij folder tymczasowy (%Temp%).
4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).