Троянская программа. Имеет встроенную функцию удаленного управления компьютером.
Инсталляция
После запуска бекдор копирует себя в системный каталог Windows с именем winsN2S.exe:
%System%\winsN2S.exe
Затем регистрирует этот файл в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\OLE] [HKCU\System\CurrentControlSet\Control\Lsa] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKLM\Software\Microsoft\OLE] [HKLM\System\CurrentControlSet\Control\Lsa] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Windows NetStart Service2"="winsN2S.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Действия
Бэкдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, проводить DoS-атаки, запускать на зараженной машине прокси серверы, отсылать злоумышелннику подробную информацию о системе, в том числе настройки почтовых протоколов, вводимые с клавиатуры пароли, скриншоты экрана и другую информацию.