Standardowo za usunięcie trzeba zapłacić kupując rzekomą pełną wersję programu.
Przebieg instalacji szkodnika:
Uruchomiony program instalacyjny tworzy:
Kod: Zaznacz cały
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup\Files
Modyfikuje podklucz rejestru:
Kod: Zaznacz cały
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Może się kontaktować z adresami:
Kod: Zaznacz cały
http-harddrive.us/httpss/v=78&step=2&hostid=[UNIQUE_ID]
http-harddrive.us/getfile.php?r=[RANDOM_NUMBER]&p=[BASE64_ENCODED_INSTALL_LOCATION]
[10_NUMERALS].http-myprogramming.net
Podczas usuwania należy wyłączyć (skasować) podklucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup\Files
Źródło: Symantec