Trojan ten po instalacji tworzy:
Kod: Zaznacz cały
* %System%\[RANDOM CHARACTERS]svc.dll (trzy kopie)
* %System%\rtdrvupr.exe
* %System%\noise03.dat
* %System%\tljoqgv.dat
* %System%\tlntwye.dat
* %System%\faultrep.dat
tworzy i uruchamia usługę
[STRING 1] [STRING 2] Service
gdzie [STRING 1]przyjmuje wartość
Kod: Zaznacz cały
* Mircorosft
* Windows
zaś string 2:
* Media security container
* DNS Security controler
* Beautiful Windows background
* Beautiful Background Color
* Comfortable Desktop Controler
* Comfortable game controler
* Efficent game controler
* Security Account
* Security Inernet Bank
* DNS resolve
* Wireless protection
* Vga adapter
* Mpeg adapter
* Wmi adapter
* Security catalog
* Logon information
* Network account
* Cryptograpic file
* Distributed Link Tracking Client
* Com library
* Application information
* Security inforamion
* System information
* Remote account
* Remote user
* Account information
* Removal stoarage
* Storage protect
Kod: Zaznacz cały
Następnie zmienia dane w pliku hosts oraz kopiuje i koduje hasłem pliki do pliku CAB:
Kod: Zaznacz cały
* .zip
* .cpp
* .java
* .jsp
* .aspx
* .asp
* .php
* .rar
* .gho
* .alz
* .pst
* .eml
* .kwp
* .gul
* .hna
* .hwp
* .pdf
* .pptx
* .ppt
* .mdb
* .xlsx
* .xls
* .wri
* .wpx
* .wpd
* .docm
* .docx
* .doc
* .cab
Może być używany do prowadzenia ataków DDoS
Źródło: Symantec