Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение.
Деструктивная активность
После запуска троянец производит внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:
{BD96C556-65A3-11D0-983A-00C04FC29E36}
Используя уязвимость в ActiveX объекте "Microsoft.XMLHTTP", троянец загружает файл со следующего URL:
http://down*****.cn/down/ko.exe
Используя ActiveX компонент "ADODB.Stream", троянец сохраняет скачанный файл во временный каталог текущего пользователя Windows под именами "SVCH0ST.pif" и "SVCH0ST.vbs":
%Temp%\SVCH0ST.pif
%Temp%\SVCH0ST.vbs
При сохранении файлу "SVCH0ST.pif" устанавливается атрибут "Скрытый", также в этот файл дописывается несколько строк следующего текста:
'c_u_t_e_q_q_i_l_o_v_e_y_o_u
После успешного сохранения файлы запускаются на выполнение.
На момент создания описания указанная ссылка не работала.