Троянец был разослан при помощи спам-рассылки 23 ноября 2005 года. Файл троянца имеет размер 9760 байт.
Инсталляция
После своего запуска, троянец копирует себя в %sysdir% под именем anti_troj.exe.
Чтобы запускаться при старте операционной системы, троянец добавляет ссылку на этот файл в ключи автозапуска системного реестра:
[HKLM\Microsoft\Windows\CurrentVersion\Run] "anti_troj"="C:\WINDOWS\System32\anti_troj.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "anti_troj"="C:\%sysdir%\anti_troj.exe"
Действие
Троянец пытается скачать файл со следующих серверов:
202.44.52.38 209.126.128.203 25kadr.org 65.108.195.73 757555.ru 80.146.233.41 abtechsafety.com abtechsafety.com acentrum.pl adavenue.net adoptionscanada.ca adventecgroup.com agenciaspublicidadinternet.com ahava.cafe24.com aibsnlea.org aikidan.com ala-bg.net alevibirligi.ch alfaclassic.sk allanconi.it allinfo.com.au americasenergyco.com amerykaameryka.com amistra.com analisisyconsultoria.com calamarco.com ccooaytomadrid.org charlies-truckerpage.de drinkwater.ru eleceltek.com furdoszoba.info kepter.kz mijusungdo.net oklens.co.jp phrmg.org s89.tku.edu.tw sacafterdark.net template.nease.net tkdami.net virt33.kei.pl www.8ingatlan.hu www.a2zhostings.com www.abavitis.hu www.adamant-np.ru www.agroturystyka.artneo.pl www.americarising.com www.barth.serwery.pl www.bmswijndepot.com www.etwas-mode.de www.leap.co.il www.timecontrol.com.pl www.ubu.pl
В момент создания описания скачиваемый троянцем файл детектировался Антивирусом Касперского как Email-Worm.Win32.Bagle.er.
Скачанный файл сохраняется в папке %windir%\exefld. Имя файла представляет собой произвольный набор цифр, расширение — exe.