Троянская программа, выполняющая деструктивные действия на компьютере пользователя.
Инсталляция
После запуска троянец копирует свой исполняемый файл как:
%System%\drivers\runtime.sys
Для автоматического запуска при каждом следующем старте системы троян создает системную службу с именем "Runtime", которая запускает исполняемый файл трояна при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\runtime]
После успешной инсталляции троян удаляет свой оригинальный файл.
Деструктивная активность
Троянская программа содержит руткит драйвер, который скрывает наличие файлов троянца на жестком диске, а так же следующих файлов:
%System%\ntoskrnl.exe
%System%\ntkrnlpa.exe
%System%\ntkrnlmp.exe
%System%\ntkrpamp.exe
И их процессов в системе.
Также троянец запускает скрытый процесс "iexplore.exe", в который внедряет свой код, который скачивает файлы со следующих адресов:
208.66.194.***
66.246.252.***
208.66.195.***
74.53.42.***
74.53.42.***
Скачанные файлы сохраняются под именами вида:
%Temp%\.exe,
где rnd – случайная последовательность цифр.
После успешной загрузки файлы запускаются на выполнение.