Trojan ten pobiera inne pliki za pośrednictwem Internetu i uruchamia je w celu wykonania na zaatakowanej maszynie bez wiedzy czy zgody użytkownika. Ma postać strony HTML. Jego rozmiar to 1334 bajtów.

Funkcje szkodnika

Po uruchomieniu trojan wstrzykuje swój kod do pamięci procesu, który posiada następujący muteks w rejestrze systemowym:

{BD96C556-65A3-11D0-983A-00C04FC29E36}

Trojan wykorzystuje lukę w zabezpieczeniu komponenta ActiveX XMLHTTP w celu pobrania pliku z następującego adresu URL:

http://www.*****niro.cn/exe/847.exe

W momencie tworzenia tego opisu odsyłacz ten nie działał.

Trojan ten wykorzystuje lukÄ™ w zabezpieczeniach komponentu “ADODB.Stream” ActiveX w celu zapisania pliku w tymczasowym folderze systemowym bieżącego użytkownika jako “847.exe”:

%Temp%847.exe

Pobrany plik zostanie uruchomiony w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
2. Usuń następujący plik:

   %Temp%847.exe
   

3. Wyłącz uruchamianie ActiveX w przeglądarce Internet Explorer
4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).