Eksploit ten wykorzystuje lukę w zabezpieczeniach Internet Explorera (CVE-2006-3227) w celu uruchomienia się na zaatakowanej maszynie. Ma postać strony HTML. Jego rozmiar to 677 bajtów. Nie został w żaden sposób spakowany.

Funkcje szkodnika

Szkodnik ten wykorzystuje lukę w zabezpieczeniach, która pozwala zdalnemu szkodliwemu użytkownikowi na zmodyfikowanie wyglądu stron wyświetlanych w przeglądarce Internet Explorer oraz uniknięcie filtrowania zawartości dzięki niepoprawnej interpretacji 8-bitowych symboli ASCII.

Skrypt może pobierać inne pliki bez wiedzy użytkownika poprzez wykorzystanie luki Baidu Soba Remote Code Execute (FGA-2007-10). Luka ta pozwala zdalnemu szkodliwemu użytkownikowi na pobieranie i uruchamianie plików poprzez wywołanie DloadDS dla Baidu Soba. Pliki są pobierane z poniższego odsyłacza:

http://www1.*****oy.com/S368/calc.cabS3682.exe

W momencie tworzenia tego opisu odsyłacz ten nie działał.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Usuń oryginalny plik eksploita (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
2. Usuń wszystkie pliki z %Temporary Internet Files%.
3. Zainstaluj aktualizacje Internet Explorera.
4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).