Trojan ten pobiera inny program za pośrednictwem Internetu i uruchamia go na zainfekowanej maszynie bez wiedzy czy zgodny użytkownika. Ma postać pliku PE EXE o rozmiarze 38400 bajtów. Powstał w języku programowania C++.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało foldera systemu Windows jako "Ir32_a.exe":

%System%Ir32_a.exe 

Następnie usuwa swój oryginalny plik.

W celu zapewnienia sobie automatycznego uruchamiania się wraz z każdym restartem systemu trojan rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit" = "C:WINDOWSsystem32userinit.exe,Ir32_a.exe"

Funkcje szkodnika

Trojan wysyła żądanie do strony zdalnego szkodliwego użytkownika:

http://www.yukor.blog55.....

W odpowiedzi otrzymuje plik zawierający odsyłacze, z których zostaną pobrane inne obiekty. Plik zostanie zapisany w katalogu głównym na dysku C: jako "tmp.dat":

C:	mp.dat

Pliki pobrane z odsyłaczy zawartych w tych plikach są zapisywane w folderze "Tymczasowe pliki internetowe" ze swoimi oryginalnymi nazwami. Po tym, jak zostaną pobrane, są uruchamiane w celu wykonania.

W momencie tworzenia tego opisu odsyłacz ten nie był aktywny.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Usuń kopię trojana:

   %System%Ir32_a.exe 
   

2. Usuń zawartość %Temporary Internet Files%.
3. Cofnij poniższy klucz rejestru systemowego:

   [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
   "Userinit" = "C:WINDOWSsystem32userinit.exe,Ir32_a.exe"

   na

   [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
   "Userinit" = "C:WINDOWSsystem32userinit.exe"

4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).