Троянская программа выполняется на операционных системах Windows.
Первоначально данный троянец был разослан при помощи спам-рассылки.
В начале HTML-файла находится архив с троянской программой, имеющий формат Microsoft Cabinet.
Находящаяся в архиве троянская программа представляет собой исполняемый PE EXE-файл. Написана на языке Delphi. Имеет размер 67073 байта.
Инсталляция
Скрипт страницы содержит обработчик события загрузки страницы, который каждые полсекунды вызывает функцию, внедряющую трояна в систему. Троянский код ждет пока браузер перейдет в автономномный режим, после чего создает новое окно с координатами -10000, -10000. В окне открывается страница с помещенным на ней троянским ActiveX-компонетом.
Программа установки ActiveX-компонентов распаковывает из содержащегося в веб-странице архива файл totalworm.dll во временную папку «%Windir%\Downloaded Program Files», после чего загружает и регистрирует в системе содержащийся в нем ActiveX-компонент. Файл totalworm.dll имеет размер 85504 байта и является динамической библиотекой Windows. При загрузке этой библиотеки она дешифрует встроенный в нее EXE-файл и сохраняет его в системный каталог Windows с именем systemxp.exe (размер 67073 байт):
%System%\systemxp.exe
После чего данный файл запускается на исполнение и регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Systemxp"="%System%\systemxp.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Также троянец изменяет следующую запись в системном реестре, чтобы заблокировать работу с системным реестром Windows:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1"
Деструктивная активность
Троянец пытается установить соединение с интернетом используя функции библиотеки wininet:
1. Инициализирует интернет соединение случайным образом, выбирая тип подключения «direct» или используя системные настройки.
2. Запускает поток, который в цикле 300 раз с задержкой 10 миллисекунд ищет в системе диалог дозвона к интернету, если находит — скрывает его и имитирует нажатие на кнопку дозвона.
3. Пытается связаться с адресом http://www.google.com, после этого делает задержку в 5 минут и повторяет попытку.
Если удается соединиться с интернетом, программа открывает следующий URL:
http://www.***ivizion1.wz.cz/echo.php
Далее троянец пытается выполнить загрузку других файлов из интернета.
При успешном соединении с интернетом троянец открывает следующий URL:
http://www.***ivizion1.wz.cz/isexe.php
и ждет ответа от сервера. Если возвращается строка «ok», то троянец удаляет файл sys9x1old.exe из системного каталога Windows, если такой существует. Если в системном каталоге ОС существует файл sys9x1.exe, троянец переименовывает его в sys9x1old.exe.
После чего троянец соединяется со следующим URL:
http://www.***ivizion1.wz.cz/getexefile.php
принимает данные с сервера и записывает их в файл sys9x1.exe расположенный в системном каталоге ОС.
После окончания приема данных запускает этот файл на выполнение.
Также при определенных условиях троянец блокирует работу с диспетчером задач Windows.