Trojan ten pobiera inne pliki za pośrednictwem Internetu i uruchamia je w celu wykonania na zdalnej maszynie bez wiedzy czy zgody użytkownika. Ma postać pliku PE EXE o rozmiarze 34816 bajtów. Nie został w żaden sposób spakowany. Powstał w języku programowania C++.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do foldera tymczasowego systemu Windows w następujący sposób:

%Temp%hbgdown.exe
%Temp%msdtc.exe

W celu zapewnienia sobie uruchamiania się wraz z następnym startem systemu trojan tworzy usługę o nazwie “HTTP SSH”:

[HKLMSYSTEMCurrentControlSetServicesHTTP SSH]
"DisplayName" = "HTTP SSH"
"ErrorControl" = "0"
"ImagePath" = "%Temp%msdtc.exe"
"ObjectName" = "LocalSystem"
"Start" = "2"
"Type" = "10"

Funkcje szkodnika

Trojan pobiera plik z poniższego adresu URL:

http://*****gcdon.com.cn/v.exe

Plik ten jest zapisywany do foldera tymczasowego systemu Windows w następujący sposób:

%Temp%gbn.exe

Pobrany plik zostanie następnie uruchomiony w celu wykonania.

W momencie tworzenia tego opisu odsyłacz ten nie działał.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
2. Usuń następujący klucz rejestru systemowego:

   [HKLMSYSTEMCurrentControlSetServicesHTTP SSH]

3. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
4. Usuń następujące pliki:

    
   %Temp%hbgdown.exe
   %Temp%msdtc.exe
   %Temp%gbn.exe
   

5. Usuń pliki z %Temporary Internet Files%.
6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).