Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 8192 байта. Упакована при помощи UPX. Распакованный размер – около 12 КБ. Написана на C++.
Деструктивная активность
После запуска троянец проверяет доступный в системе объем видеопамяти и если он меньше 32 мегабайт, то троянец завершает свою работу. Также троянец проверяет окружение, в котором он запущен, если это оказалась виртуальная машина "VMWare", то троянец завершает свою работу.
Далее троянец загружает файлы со следующих URL адресов: http://ah***jpb.com/ccsuper2.php http://ah***pb.com/26.exe http://195.***.240/clicker1.txt На момент создания описания ссылки не работали.
Сохраняет скачанные файлы в каталог Windows под следующими именами соответственно: %WinDir%\kernel32.exe %WinDir%\system32.exe %WinDir%\winsock32.exe После чего троянец запускает на выполнение загруженные файлы и удаляет свое оригинальное тело.