Резидентная троянская программа, написана на Microsoft Visual C++.
name="doc3">Деструктивная активность |
После запуска троянец копирует себя в корневой каталог Windows с именем SERVICES.EXE и запускает свою копию на исполнение.
После этого оригинальный запускаемый файл удаляется.
Также троянец создает следующие ключи в системном реестре:
Запущенный троянский процесс SERVICES.EXE в отдельном потоке постоянно создает следующие значения в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SERVICES.EXE"="%Windir%\SERVICES.EXE"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\SERVICES.EXE"
"Userinit"="C:\WINDOWS\system32\userinit.exe,,%Windir%\SERVICES.EXE"
Таким образом при каждой следующей загрузке Windows автоматически запустит файл троянца.
Завершить троянский процесс не представляется возможным, так как Windows считает его своим системным процессом (%system%\services.exe — вследствие идентичности имени троянца с оригиналом, также запущенным в системе).
Троянская программа также имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя.