Многокомпонентный троян для контроля зараженного компьютера. Распространяется с использованием документов Microsoft Word содержащих эксплоит CVE-2011-3402.
На инфицированном компьютере, в зависимости от версии, создаются следующие файлы:
- %System%\drivers\jminet7.sys
- %System%\drivers\cmi4432.sys
- %System%\drivers\nfred95.sys
- %System%\drivers\nred961.sys
- %Windir%\inf\cmi4432.pnf
- %Windir%\inf\cmi4464.PNF
- %Windir%\inf\netp191.PNF
также создаются ключи реестра:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\JmiNET3
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmi4432
Полезная нагрузка, которую запускает вредоносный драйвер, представляет собой модуль для загрузки дополнительного вредоносного кода. Загрузка может быть как с удаленного сервера (206.183.111.97), так и с компьютера в локальной сети по протоколу SMB. Одним из возможных компонентов устанавливаемых на зараженном компьютере может быть Trojan.PWS.Duqu.1.