Инсталляция

При инсталляции бекдор запускает процесс svchost.exe, приостанавливает его, после чего внедряет в его адресное пространство извлеченный из ресурсов троянского исполняемого файла код и передает ему управление. После этого бекдор завершает свою работу.

Деструктивная активность

Внедренный в процесс svchost.exe код является управляемым через IRC бэкдором, который может выполнять следующие действия:

* позволяет злоумышленнику получать полный доступ к файлам на жестком диске пользователя;

* позволяет загружать файлы на компьютер пользователя и запускать их;

* позволяет отправлять злоумышленнику файлы пользователя;

* позволяет открывать URL без ведома пользователя;

* позволяет производить атаки HTTP, SYN, UDP и ICMP Flood на другие компьютеры в сети;

* запускает SMTP-прокси (это может быть использовано злоумышленниками для рассылки спама с компьютера пользователя);

* запускает на компьютере пользователя HTTP-прокси;

* делает скриншоты рабочего стола пользователя и отсылает их злоумышленнику;

* позволяет завершать запущенные процессы в системе;

* позволяет выполнять любые команды на компьютере пользователя.

Бекдор слушает входящие соединения на 21, 1362, 2400 и 8877 TCP-портах.

http://www.securitylab.ru