Kiedy uruchomi się szkodnika, tworzy on pliki:
Kod: Zaznacz cały
* %Windir%\system32\msxml5.dll
* %Windir%\system32\mswdat20.dll
* %Windir%\system32\msxml5r.dlllub
Kod: Zaznacz cały
* %UserProfile%\My Documents\msxml5.dll
* %UserProfile%\mswdat20.dll
* %UserProfile%\msxml5r.dllNastępnie trojan dodaje się poprzez rejestr do autostartu.
Na swoje strony wysyła nazwę komputera, adres IP, nazwę systemu i jego wersję oraz listę uruchomionych procesów.
Następnie otwiera furtkę.
Może się dodawać do plików współdzielonych w sieci:
Kod: Zaznacz cały
\\TSCLIENT\c\Windows\[THREAT FILE NAME].dllZapisuje wszystkie polecenia w bazie SQL o nazwie:
Kod: Zaznacz cały
siweb3fileWszystkie informacje o komputerze są zapisywane w:
Kod: Zaznacz cały
%CurrentFolder%\log.datŹródło: symantec.com
