Trojan ten zapewnia zdalnemu szkodliwemu użytkownikowi dostęp do zaatakowanego komputera. Ma postać pliku PE EXE o rozmiarze 245 760 bajtów. Powstał w języku programowania Delphi.

Instalacja

Po uruchomieniu trojan umieszcza plik o nazwie "service.exe" (o rozmiarze 182 941 bajtów) w rejestrze systemu Windows. Następnie uruchamia plik w celu wykonania z następującymi parametrami:

service.exe /install /silence

Backdoor dodaje usługę o nazwie "r_server" do rejestru systemowego:

[HKLMSoftwareCurrentControlSetServices _server] "Start" = "dword:0x00000002" "ImagePath" = "%System%
service.exe /service" "DisplayName" = "Remote Administrator Service"

Usługa ta zostanie automatycznie uruchomiona wraz z następnym uruchomieniem systemu.

Funkcje szkodnika

Po zainstalowaniu trojan zostanie uruchomiony i będzie nadsłuchiwał na wyznaczonym porcie z następującym hasłem:

service.exe /pass:SXX13CVV2 /port:4899 /save /silence

Backdoor zapewnia dostęp do zaatakowanego komputera za pośrednictwem Telnetu. Szkodnik zapewnia dostęp do plików użytkownika oraz możliwość zdalnego zarządzania systemem.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu "service.exe".
2. Usuń następujący plik:

   %System%service.exe
   

3. Usuń następujące parametry z rejestru z systemu.

   [HKLMSoftwareCurrentControlSetServices _server]

4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).