Trojan.Win32.Agent.ay
Po uruchomieniu trojan kopiuje si臋 do foldera %WINDIR%System32 z losow膮 nazw膮 i tworzy dla tej kopii klucz w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu Windows.
Trojan mo偶e uaktualnia膰 si臋 przez Internet.
Szkodnik synchronizuje si臋 z nast臋puj膮cymi serwerami NTP w celu kontrolowania czasu:
clock.fmt.he.net decimal.lib.ci.phoenix.az.us dewey.lib.ci.phoenix.az.us fartein.ifi.uio.no hora.oxixares.com ntp.cais.rnp.br ntp.cgi.cz ntp.cpsc.ucalgary.ca ntp.doubleukay.co ntp.ewha.net ntp.globe.cz ntp.hiway.com.br ntp.karpo.cz ntp.massayonet.com.br ntp.maths.tcd.ie ntp.mfa.gr ntp.obspm.fr ntp.pop-pr.rnp.br ntp.saard.net ntp.tuxfamily.net ntp.ucsd.edu ntp.ucsd.edu ntp.ufes.br ntp.univ-lyon1.fr ntp.via.ecp.fr ntp1.belbone.be ntp1.cmc.ec.gc.ca ntp1.contactel.cz ntp1.pucpr.br ntp1.theinternetone.net ntp1.tuxfamily.net ntp2.belbone.be ntp2.contactel.cz ntp2.tuxfamily.net ntps.net4u.it tack.fh-augsburg.de tick.fh-augsburg.de tick.keso.fi tick.nap.com.ar tick.utoronto.ca time.alcanet.no time.chu.nrc.ca time.nrc.ca time.sinectis.com.ar timelord.uregina.ca tock.keso.fi tock.nap.com.ar tock.utoronto.ca
Trojan 艣ledzi dzia艂ania u偶ytkownika zainfekowanego komputera i gromadzi wiele informacji systemowych.
W kodzie szkodnika zapisane s膮 nast臋puj膮ce teksty:
callinghome.biz startwatcher OfferDrv-{F395B5B4-1837-4e79-AD7B-7287043E4DBC}