Троянская программа. Является приложением Windows (PE EXE-файл).
После запуска троянец выводит на экран следующее сообщение:
Scaning for root kitПосле чего создает в корне диска C: файл с именем Update.bat:
C:\Update.bat
Троянец выгружает из памяти процессы, имена которых попадают в следующий список:
_AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ADVXDWIN.EXE ALERTSVC.EXE ALOGSERV.EXE AMON9X.EXE ANTI-t*r*o*jan.EXE ANTS.EXE apvxdwin.exe ATCON.EXE ATUPDATER.EXE ATWATCH.EXE AUTODOWN.EXE AutoTrace.exe AUTOUPDATE.EXE AVCONSOL.EXE AVGCC32.EXE Avgctrl.exe AvgServ.exe AVGSERV.EXE AVGSERV9.EXE AVGW.EXE avkpop.exe AVKSERV.EXE avkservice.exe avkwctl9.exe AVP.EXE AVP32.EXE AVPCC.EXE AVPM.EXE Avsched32.exe AvSynMgr.exe AVSYNMGR.EXE AVWINNT.EXE AVXMONITOR9X.EXE AVXMONITORNT.EXE AVXQUAR.EXE.EXE AVXW.EXE BLACKICE.EXE CDP.EXE CLAW95.EXE CLAW95CF.EXE CLEANER.EXE CLEANER3.EXE CMGRDIAN.EXE CONNECTIONMONITOR.EXE CTRL.EXE defscangui.exe DEFWATCH.EXE DOORS.EXE DRWATSON.EXE DVP95.EXE DVP95_0.EXE EFPEADM.EXE ETRUSTCIPE.EXE EVPN.EXE EXPERT.EXE F-AGNT95.EXE fameh32.exe FAST.EXE fch32.exe fih32.exe fnrb32.exe F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE fsaa.exe fsav32.exe fsgk32.exe fsm32.exe fsma32.exe fsmb32.exe F-STOPW.EXE gbmenu.exe gbpoll.exe GENERICS.EXE GUARD.EXE GUARDDOG.EXE IAMAPP.EXE IAMSERV.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IOMON98.EXE ISRV95.EXE JEDI.EXE LDNETMON.EXE LDPROMENU.EXE LDSCAN.EXE LOCKDOWN.EXE LOCKDOWN2000.EXE LUALL.EXE LUCOMSERVER.EXE MCAGENT.EXE MCMNHDLR.EXE McShield.exe MCSHIELD.EXE MCTOOL.EXE MCUPDATE.EXE MCVSRTE.EXE MCVSSHLD.EXE MGAVRTCL.EXE MGAVRTE.EXE MGHTML.EXE MINILOG.EXE MONITOR.EXE MOOLIVE.EXE MpfConsole MPFSERVICE.EXE MPFTRAY.EXE MWATCH.EXE NAVAPSVC.EXE NAVLU32.EXE NAVW32.EXE NAVWNT.EXE NDD32.EXE NeoWatchLog.exe NETUTILS.EXE NISSERV.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE notepad.exe NPROTECT.EXE NPSSVC.EXE NSCHED32.EXE ntrtscan.EXE NTVDM.EXE Nui.EXE NVC95.EXE NWService.exe NWTOOL16.EXE PADMIN.EXE pavproxy.exe PCCIOMON.EXE pccntmon.EXE pccwin97.EXE PCCWIN98.EXE pcscan.EXE PERSFW.EXE POP3TRAP.EXE POPROXY.EXE PORTMONITOR.EXE PROGRAMAUDITOR.EXE PVIEW95.EXE RAV7.EXE RAV7WIN.EXE REALMON.EXE REGEDIT.EXE RESCUE.EXE RTVSCN95.EXE sbserv.exe SCAN32.EXE SCRSCAN.EXE SMC.EXE SPHINX.EXE SPYXX.EXE SS3EDIT.EXE SWEEP95.EXE SWEEPSRV.SYS SWNETSUP.EXE SymProxySvc.exe SYMTRAY.EXE taskmgr.exe taskmgr.exe TAUMON.EXE TC.EXE TCA.EXE TCM.EXE TDS-3.EXE TFAK.EXE UPDATE.EXE vbcmserv.exe VbCons.exe VET32.EXE VET95.EXE VETTRAY.EXE VIR-HELP.EXE VPC32.EXE VPTRAY.EXE VSCHED.EXE VSECOMR.EXE VSHWIN32.EXE VSMON.EXE VSSTAT.EXE WATCHDOG.EXE WEBSCANX.EXE WEBTRAP.EXE WGFE95.EXE WIMMUN32.EXE WRADMIN.EXE WRCTRL.EXE ZATUTOR.EXE ZAUINST.EXE ZONEALARM.EXE
Также троянец регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Start"="<путь до оригинального запускаемого файла>c:\Update.bat"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
После чего троянец выводит на экран следующее сообщение:
Root kit scaner please wait while searching for possable malicious file's created by mad max!