Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 12402 байта.
Инсталляция
При инсталляции троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\mssrv32.exe
Для автоматического запуска при каждом последующем старте системы троян создает службу с именем «Microsoft security update service».
Деструктивная активность
При запуске троянец внедряет свой код в системный процесс «svchost.exe».
Затем регистрируется на сайте злоумышленника, открывая следующий URL:
http://testiks*****net.ru/bots/stat.php
При этом в заголовке запроса серверу сообщается версия операционной системы Windows, установленной на компьютере пользователя.
В ответ на этот запрос сервер посылает команды, которые определяют дальнейшие действия троянской программы. Команды могут быть следующими:
* flood — производит «наводнение» указанного сервера большим количеством пакетов. Атака может быть следующих типов:
o ICMP
o SYN
o HTTP
o UDP
* stop — немедленно отменяет отправку пакетов;
* die — удаляет свой исполняемый файл и службу;
* open — открывает указанную ссылку в Internet Explorer;
* get — скачивает файл по указанной ссылке и запускает его на исполнение. Скачанные файлы сохраняются в папку %Temp% и имеют временные имена.
Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!