Trojan ten pobiera inne pliki za pośrednictwem Internetu i uruchamia je w celu wykonania na zaatakowanej maszynie bez wiedzy czy zgody użytkownika. Ma postać strony HTML. Jego rozmiar wynosi 4774 bajtów.

Funkcje szkodnika

Po uruchomieniu trojan wstrzykuje swój kod do pamięci procesu, który posiada następujący muteks w rejestrze systemowym:

{BD96C556-65A3-11D0-983A-00C04FC29E36}

Szkodnik wykorzystuje następnie lukę w komponencie ActiveX Microsoft.XMLHTTP w celu pobrania pliku z następującego adresu URL:

http://www.onlinek.net/*****/1.exe

Plik ten ma rozmiar 28242 bajtów i jest wykrywany przez Kaspersky Anti-Virus jako Worm.Win32.AutoRun.xw.

Trojan wykorzystuje lukę w zabezpieczeniach komponentu ActiveX ADODB.Streamcomponent w celu zapisania pobranego pliku w folderze bieżącym z nazwą "ie.exe":

%WorkDir%ie.exe

Pobrany plik jest następnie uruchamiany w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
2. Usuń następujący plik:

   %WorkDir%ie.exe
   

3. Usuń zawartość %Temporary Internet Files%.
4. Usuń obiekt ActiveX
5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).