Szkodnik ten jest trojanem. Ma postać pliku PE EXE o rozmiarze 417792 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 439KB). Pogram powstał w języku programowania C++.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do foldera startowego systemu Windows:

%Documents and Settings%Main MenuProgramsStartupuninstall.exe

Funkcje szkodnika

Po powtórnym uruchomieniu zaatakowanej maszyny trojan wypakowuje ze swojego ciała plik. Plik będzie miał jedną z poniższych nazw:

%Documents and Settings%Application Datasvchosts.exe
%Documents and Settings%Application Data	askmon.exe
%Documents and Settings%Application Data
undll.exe
%Documents and Settings%Application Dataservice.exe
%Documents and Settings%Application Datasound.exe
%Documents and Settings%Application Dataupnpsvc.exe
%Documents and Settings%Application Datalsas.exe
%Documents and Settings%Application Datalogon.exe
%Documents and Settings%Application Datahelper.exe
%Documents and Settings%Application Dataevent.exe
%Documents and Settings%Application Datadumpreport.exe
%Documents and Settings%Application Datamsiexeca.exe

Rozmiar pliku wynosi 404992 bajtów. Jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.Agent.aoth.

Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym restartem systemu operacyjnego, trojan umieszcza odsyłacz do rozpakowanego przez siebie pliku w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"<rnd1>" = "<rnd2>"

<rnd1> jest nazwą wybieraną z poniższej listy:

CrashDump
EventLog
Init
lsass
Regscan
RunDll
Setup
Sound
svchosts
System
TaskMon
UPNP
Windows

<rnd> jest ścieżką do pliku wypakowanego z trojana znajdującego się na liście wyżej.

Po tym, jak trojan dostarczy swoją szkodliwą funkcję, usunie zarówno swoje ciało jak i swoją kopię "%Documents and Settings%\Main MenuProgramsStartupuninstall.exe".

Trojan ten nie będzie działał w rosyjskich wersjach systemu Windows.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
2. Usuń następujący klucz rejestru systemowego:

   [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
   

   "<rnd1>" = "<rnd2>"

3. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
4. Usuń następujące pliki:

   %Documents and Settings%Application Datasvchosts.exe
   %Documents and Settings%Application Data	askmon.exe
   %Documents and Settings%Application Data
   undll.exe
   %Documents and Settings%Application Dataservice.exe
   %Documents and Settings%Application Datasound.exe
   %Documents and Settings%Application Dataupnpsvc.exe
   %Documents and Settings%Application Datalsas.exe
   %Documents and Settings%Application Datalogon.exe
   %Documents and Settings%Application Datahelper.exe
   %Documents and Settings%Application Dataevent.exe
   %Documents and Settings%Application Datadumpreport.exe
   %Documents and Settings%Application Datamsiexeca.exe
   

5. Usuń wszystkie pliki z %Temporary Internet Files%.
6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).