Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Упакована UPX. Размер файла — около 6 КБ. Размер в распакованном виде — около 32 КБ.
Деструктивная активность
После запуска программа проверяет наличие выполняющейся своей второй копии, если таковая имеется, то программа завершает свою работу.
В противном случае, программа получает из интернета список URL, с которых должна производиться загрузка вредоносных программ и сохраняет его в зашифрованном виде в файле svcp.csv в системном каталогеWindows. После этого загружает указанные файлы и запускает их. Файлы сохраняются в системном каталоге Windows с их оригинальными именами.
Программа для хранения своих данных также использует файл winsub.xml в системном каталоге Windows и следующий ключ реестра:
[HKEY_CURRENT_USER]
"WindowsSubVersion"