Jest to backdoor kontrolowany przez kanały IRC, pozwalający zdalnemu cyber-przestępcy na kontrolowanie zainfekowanego komputera. Szkodnik ma postać pliku PE EXE o rozmiarze 2 560 bajtów.

Po uruchomieniu backdoor tworzy w folderze głównym systemu Windows plik o nazwie troyan.exe o rozmiarze 3 072 bajtów.

Następnie, backdoor tworzy w rejestrze systemowym własny wpis, co zapewnia mu uruchamianie wraz z każdym startem systemu Windows:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"avast"="%WinDir%\troyan.exe"

Backdoor łączy się z serwerem amsterdam2.******.org na porcie 6667 i oczekuje na polecenia wydawane przez kanał IRC przez zdalnego cyber-przestępcę.

Zdalny cyber-przestępca może sprawdzać stan połączenia z botem przy użyciu polecenia PING. Może on także pobierać dowolne pliki. Każdy nowy plik nadpisuje poprzednio pobrany. Każdy pobrany plik jest zapisywany z folderze backdoora z nazwą z31.exe. Po zakończeniu pobierania plik jest uruchamiany w trybie ukrytym.

Usuwanie backdoora

W celu usunięcia backdoora z zainfekowanego systemu należy wykonać następujące operacje:

1. Usunąć z pamięci proces troyan.exe.
2. Usunąć klucz backdoora z rejestru systemowego:

   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
   "avast"="%WinDir% royan.exe"

3. Usunąć następujące pliki:

   %WinDir%	royan.exe
   %WinDir%z31.exe
   

4. Uruchomić ponownie komputer.
5. Przeprowadzić peÅ‚ne skanowanie komputera. Backdoor.Win32.Small.cz (Kaspersky Lab), Backdoor.Trojan (Symantec),   Backdoor:Win32/Small.CZ (RAV),   BKDR_SMALL.P (Trend Micro),   BDS/Small.CZ (H+BEDV),   BackDoor.Small.3.AH (Grisoft),   Trojan.Small-34 (ClamAV),   Trj/Small.DL (Panda),   Win32/Small.CZ (Eset)