Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 28672 байта.
Инсталляция
После запуска троянец устанавливает своему исполняемому файлу атрибут "Скрытый" и копирует данный файл в системный каталог Windows под именами:
%System%\wintemp.exe
%System%\syswin.exe
После копирования вредонос запускает файлы на выполнение.
Деструктивная активность
Троянец пытается выполнить обращение к интернет ресурсу, расположенного по ссылке:
http://www.qq.com/***
На момент создания описания ссылка не работала.
После чего вредонос определяет имя зараженного компьютера, IP-адрес и передает полученную информацию на сервер злоумышленника по следующему URL:
http://www.75*****.com/images/ge.asp?u=<имя компьютера>&i=
Далее выполняет загрузку файла, который находится по следующему URL:
http://reg.75*****.com/image/log.jpg
и замещает данным файлом содержимое файлов:
%System%\wintemp.exe
%System%\syswin.exe
Данный файл имеет размер 28672 байта и детектируется Антивирусом Касперского как Backdoor.Win32.Hupigon.fsfz. Затем вредоносная программа поочередно запускает данные файлы на выполнение. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IeServer" = "%System%\syswin.exe"
Также троянец выполняет внедрение своего кода в адресное пространство процесса "elementclient.exe". И отслеживает ввод пользователем конфиденциальной информации в регистрационную форму on-line игры "Perfect World".