Троянская программа. Является приложением Windows (PE EXE-файл).
Инсталляция
После активации троянец копирует свое тело в каталог автозагрузки текущего пользователя Windows:
%Documents and Settings%\\Main Menu\Programs\Startup\uninstall.exe
Деструктивная активность
После перезагрузки зараженного компьютера троянец извлекает из своего тела файл с именем из следующего списка:
%Documents and Settings%\\Application Data\svchosts.exe
%Documents and Settings%\\Application Data\taskmon.exe
%Documents and Settings%\\Application Data\rundll.exe
%Documents and Settings%\\Application Data\service.exe
%Documents and Settings%\\Application Data\sound.exe
%Documents and Settings%\\Application Data\upnpsvc.exe
%Documents and Settings%\\Application Data\lsas.exe
%Documents and Settings%\\Application Data\logon.exe
%Documents and Settings%\\Application Data\helper.exe
%Documents and Settings%\\Application Data\event.exe
%Documents and Settings%\\Application Data\dumpreport.exe
%Documents and Settings%\\Application Data\msiexeca.exe
Данный файл имеет размер 404992 байта и детектируется Антивирусом Касперского, как Trojan-Downloader.Win32.Agent.aoth.
Для автоматического запуска при каждом следующем старте системы троянец создает ссылку на извлеченный файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"" = " "
где
CrashDump
EventLog
Init
lsass
Regscan
RunDll
Setup
Sound
svchosts
System
TaskMon
UPNP
Windows
По завершению работы троянец удаляет свое оригинальное тело и копию "%Documents and Settings%\
Данная троянская программа не работает на операционной системе Windows с русской локализацией.