Celem tego trojana jest instalowanie i uruchamianie innych programów na zaatakowanej maszynie bez wiedzy czy zgody użytkownika. Ma postać pliku PE EXE o rozmiarze 10313 bajtów (kompresja FSG, rozmiar po rozpakowaniu - około 53KB). Powstał w języku programowania C++.

Funkcje szkodnika

Podczas uruchamiania trojan wydobywa dwa pliki ze swojego ciała i zapisuje je w następujący sposób:

%System%
sv32.dll

Plik ten ma rozmiar 9216 bajtów. Będzie wykrywany przez Kaspersky Anti-Virus jako Trojan.Win32.Small.av.

%System%winserv.exe

Plik ten ma rozmiar 4377 bajtów. Będzie wykrywany przez Kaspersky Anti-Virus jako Trojan-Downloader.Win32.Small.aun.

Trojan tworzy również następujący klucz rejestru systemowego:

[HKLMSoftwareAuogu]
"h" = "205.209.185.137/admin/"

Następnie trojan uruchomi "%System%winserve.exe" w celu wykonania i zakończy działanie.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
2. Usuń następujące pliki:

   %System%
   sv32.dll
   %System%winserv.exe
   

3. Usuń następujące klucze rejestru systemowego:

   [HKLMSoftwareAuogu]
   "h" = "205.209.185.137/admin/"

4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).

BackDoor-CIU (McAfee),   Dropped:Trojan.PWS.Small.S (SOFTWIN)