Trojan ten otwiera szereg różnych stron internetowych bez wiedzy czy zgody użytkownika. Ma postać pliku PE EXE o rozmiarze 5120 bajtów (kompresja FSG, rozmiar po rozpakowaniu - około 23KB).

Instalacja

Trojan dodaje regułę do Zapory Sieciowej Windows, która zezwala na wszelką aktywność sieciową spowodowaną przez trojana.

Funkcje szkodnika

Trojan wstrzykuje swój kod do procesu explorer.exe. Proces ten będzie pobierał pliki z następujących odsyłaczy:

http://www.spamcatchero.biz/*****/bot.dll
http://iframebiz.com/exe.php?*****

Pliki te zostaną zapisane odpowiednio do systemu Windows i folderów tymczasowych:

%System%advvpi32.dll
%Temp%(losowa nazwa)

Pliki te są następnie uruchamiane w celu wykonania.

W momencie tworzenia tego opisu odsyłacze te nie działały.

Następnie trojan otwiera następujący odsyłacz bez wiedzy czy zgody użytkownika.

iframebiz.com/install.php?*****

Następnie trojan usuwa oryginalny plik.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu szkodliwego programu.
2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
3. Usuń następujący plik:

   %System%advvpi32.dll
   

4. Usuń folder tymczasowy (%Temp%).
5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).