Instalacja

Podczas instalacji trojan kopiuje swój plik wykonywalny do foldera systemu Windows:

%System%mssrv32.exe

Aby zapewnić sobie uruchamianie się wraz z każdym startem systemu, trojan tworzy usługę o nazwie "Microsoft security update service".

Funkcje szkodnika

Podczas uruchamiania trojan wstrzykuje swój kod do svchost.exe, procesu systemowego.

Następnie rejestruje się na stronie zdalnego szkodliwego użytkownika poprzez otwarcie następującego adresu URL.

http://testiks*****net.ru/bots/stat.php

Nagłówek żądania do serwera zawiera wersję systemu Windows działającego na zaatakowanej maszynie.

Serwer odpowiada na żądanie poprzez wysyłanie poleceń, które określają, co ma zrobić trojan. Polecenia są następujące:

1. flood - zalewanie wyznaczonego serwera ogromną liczbą pakietów. Typy ataków zostały wymienione poniżej:
   1. ICMP
   2. SYN
   3. HTTP
   4. UDP
2. stop - natychmiastowe zatrzymanie wysyłanych pakietów.
3. die - usunięcie pliku trojana i stworzonej przez niego usługi.
4. open - otworzenie określonego odsyłacza przy pomocy przeglądarki Internet Explorer.
5. get - pobieranie pliku z określonego odsyłacza i uruchamianie go w celu wykonania. Pobrane pliki są zapisywane do %Temp% z nazwą tymczasową.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
2. Usuń następującą usługę:

   "Microsoft security update service"
   

3. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
4. Usuń następujący plik:

   %System%mssrv32.exe
   

5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).