Jest to program dający zdalnemu agresorowi pełny dostęp do zainfekowanego komputera. Ma postać pliku PE EXE o rozmiarze 9 216 bajtów. Szkodnik jest instalowany w systemie przez trojana Trojan-Dropper.Ichitaro.Tarodrop.a, który dostaje się do komputera za pośrednictwem nieudokumentowanej luki w japońskim pakiecie biurowym Ichitaro Office Suite.

Instalacja

Po uruchomieniu szkodnik tworzy swojÄ… kopiÄ™:

%Windir%wab32.exe

Jest ona uruchamiana a oryginalny plik, z którego szkodnik został uruchomiony jest usuwany.

Trojan tworzy następujący klucz w rejestrze systemowym:

[HKLMSoftwareMicrosoftActive SetupInstalled Components{254F4E25-A65F-2764-0003-070806050704}]
"StubPath" = "%Windir%wab32.exe"

W celu oznaczenia zainfekowanego systemu trojan tworzy unikatowy identyfikator:

)!VoqA.I4

Funkcje backdoora

Backdoor ma postać zaszyfrowanego komponentu popularnego narzędzia administracyjnego Poison Ivy.

Backdoor daje zdalnemu agresorowi pełny dostęp do zainfekowanego komputera, łącznie z możliwością uruchamiania szeregu poleceń, gromadzenia informacji systemowych, pobierania i uruchamiania plików, tworzenia i przenoszenia folderów, modyfikowania kluczy rejestru systemowego, zamykania aktywnych procesów, tworzenia zrzutów ekranu i wysyłania ich na zdefiniowany adres e-mail, zamykanie zainfekowanego komputera itd.

Usuwanie szkodnika z zainfekowanego systemu

W celu usunięcia szkodnika z zainfekowanego systemu należy:

1. Usunąć plik backdoora:

   %Windir%wab32.exe
   

2. Usunąć następujący klucz rejestru:

   [HKLMSoftwareMicrosoftActive SetupInstalled Components{254F4E25-A65F-2764-0003-070806050704}]
   "StubPath" = "%Windir%wab32.exe"

3. Uaktualnić antywirusowe bazy danych i przeprowadzić pełne skanowanie antywirusowe komputera (można w tym celu wykorzystać wersję trial programu Kaspersky Anti-Virus)