Троянец-блокировщик, устанавливаемый на компьютеры пользователей в качестве одного из модулей руткита Trojan.Gapz.1. Одной из основных отличительных особенностей троянца является способность перехватывать изображение с подключенной к компьютеру веб-камеры и демонстрировать его в блокирующем окне.
В процессе установки:
- Расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.
- Генерирует уникальный ID, и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере.
- Получает WHIOS-информацию об IP-адресе зараженного ПК.
- Сверяет эти данные с хранящимся в своем конфигурационном файле списком стран, и блокирует компьютер только в том случае, если инфицированная машина располагается Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США.
- Отправляет на управляющий сервер новый запрос и получает в ответ идентификационный номер бота.
- Отправляет еще один запрос, загружает с командного центра несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.
Работает со следующими платежными системами:
- Ukash
- Moneypack
- Paysafecard
Для разблокировки компьютера используется код ваучера, печатаемый на чеке платежным терминалом при внесении платежа. Верификация введенного пользователем кода осуществляется на управляющем сервере.