W swojej działalności zaczyna skanowanie komputera w poszukiwaniu zagrożeń:
Które co oczywista znajduje i zaleca usuwanie
Następnie oferuje zakup kilku licencji w celu usuwania malwaru:
Instalacja:
uruchomiony plik tworzy:
Kod: Zaznacz cały
* %Temp%\rvtkqtpyc\qstviuhsjmo.exe
* C:\NET\shopllbo.com_check_pgid=9
* C:\NET\shopllbo.com_percer.php_login=NzguNA==
Następnie program dodaje się do autostartu systemu Windows:
Kod: Zaznacz cały
HKEY_CURRENT_USER\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Run\"vdsoarsv" = "%Temp%\rvtkqtpyc\qstviuhsjmo.exe"
Podczas usuwania należy ten podklucz skasować.
Źródło: Symantec