Trojan ten pobiera inne pliki za pośrednictwem Internetu i uruchamia je w celu wykonania na zaatakowanej maszynie bez wiedzy czy zgody użytkownika. Ma postać pliku PE EXE o rozmiarze 31744 bajtów. Powstał w języku programowania Visual Basic.

Instalacja

Po uruchomieniu trojan kopiuje swój plik wykonywalny do foldera systemowego:

%System%wdfmgrnt.exe

W celu zapewnienia sobie automatycznego uruchamiania wraz z każdym startem systemu trojan dodaje odsyłacz do swojego pliku wykonywalnego w rejestrze systemowym:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"wdfmgrnt" = "%System%wdfmgrnt.exe"

Funkcje szkodnika

Trojan uruchamia przeglądarkę Internet Explorer i wstrzykuje do niej swój kod, który pobiera plik z następujących odsyłaczy:

http://59.***.197.***/t21.exe
http://59.***.197.***/10050.exe

Pliki te zostanÄ… zapisane w folderze systemowym:

%System%	21.exe – plik ten ma rozmiar 159905 bajtów.
%System%10050.exe – plik ten ma rozmiar 155648 bajtów.

Następnie pobrane pliki zostaną uruchomione w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
3. Usuń następujący parametr klucza rejestru systemowego:

   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
   "wdfmgrnt" = "%System%wdfmgrnt.exe"

4. Usuń następujące pliki:

    
   %System%wdfmgrnt.exe
   %System%	21.exe
   %System%10050.exe
   

5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).