Trojan ten zapewnia zdalnemu szkodliwemu użytkownikowi dostęp do zaatakowanego komputera. Ma postać pliku PE EXE o rozmiarze 5 040 bajtów.

Instalacja

Po uruchomieniu trojan kopiuje swój plik wykonywalny do folderu systemu Windows:

%System%com.exe

Tworzy również następujący klucz rejestru:

[HKLMSOFTWAREMicrosoftActive SetupInstalled Components
{04F4BA85-A3C7-4235-0200-060204060705}]
"StubPath" = "%System%com.exe"

Funkcje szkodnika

Trojan uruchamia proces związany z następującym kluczem rejestru:

[HKLMSOFTWAREClasseshttpshellopencommand]

Następnie trojan wstrzykuje swój kod do procesu, który następnie próbuje połączyć się z nimabi.serve***r.com, aby otrzymać skrypt.

Skrypt może zawierać:

• pobieranie plików z Internetu i uruchamianie ich na zaatakowanym komputerze
• dostarczanie zdalnemu szkodliwemu użytkownikowi informacji o systemie

Backdoor wstrzykuje również swój kod do explorer.exe. Kod ten będzie sprawdzał, czy pliki backdoora znajdują się na dysku twardym oraz w kluczu startowym rejestru systemowego.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesów explorer.exe oraz iexplore.exe.
2. Usuń następujący plik:

   %System%com.exe
   

3. Usuń następujący klucz rejestru:

   [HKLMSOFTWAREMicrosoftActive SetupInstalled Components
   {04F4BA85-A3C7-4235-0200-060204060705}]

4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).