Sam trojan nie jest szczególnie niebiezpieczny jednak dość uciążliwy. Wyświetla okna popup po czym wyłącza komputer czyniąc jego działanie niestabilnym.
Na komputerze instaluje nowe pliki
Kod: Zaznacz cały
%AppData%\tmps.tmp
%Temp%\[5 RANDOM LETTERS].exe
%AppData%\Cores.exe
A następnie dodaje się do autostartu
Kod: Zaznacz cały
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Cores" = "%AppData%\Cores.exe"
Wyświetla też okna dialogowe na komputerze żądając kodu do odblokowania komputera. Po trzecim razie wyłącza go.
Może także wyłączać procesy systemowe (taskmgr, cmd, msconfig, regedit, powershell, rstrui), wyłączać przeglądarkę internetową, przejmować kontrolę nad myszką, uruchamiać aplikacje, wyciszać głośniki, ukrywać pasek zadań, usuwać zawrtość schowka, wyłączać systemowy firewall czy sam siebie odinstalowywać.
źródło: Symantec