Kiedy uruchomi się szkodnika, tworzy on pliki:
Kod: Zaznacz cały
* %Windir%\system32\msxml5.dll
* %Windir%\system32\mswdat20.dll
* %Windir%\system32\msxml5r.dll
lub
Kod: Zaznacz cały
* %UserProfile%\My Documents\msxml5.dll
* %UserProfile%\mswdat20.dll
* %UserProfile%\msxml5r.dll
Następnie trojan dodaje się poprzez rejestr do autostartu.
Na swoje strony wysyła nazwę komputera, adres IP, nazwę systemu i jego wersję oraz listę uruchomionych procesów.
Następnie otwiera furtkę.
Może się dodawać do plików współdzielonych w sieci:
Kod: Zaznacz cały
\\TSCLIENT\c\Windows\[THREAT FILE NAME].dll
Zapisuje wszystkie polecenia w bazie SQL o nazwie:
Kod: Zaznacz cały
siweb3file
Wszystkie informacje o komputerze są zapisywane w:
Kod: Zaznacz cały
%CurrentFolder%\log.dat
Źródło: symantec.com