Бэкдор. Копирует себя в %Temp%\rundll_.exe и прописывает в реестре в
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runс именем параметра rundll_ Проверяет наличие второй копии себя по мьютексу.
Создает в системной временной папке несколько вспомогательных файлов, используемых им в процессе работы, в частности:
- rundll_.nolog - если при старте файл отсутствует, он будет создан трояном. Файл используется для того, чтобы определить, нужно ли трояну вести лог.
- rundll_.log - Файл используется для ведения лога трояна, если при запуске rundll_.nolog отсутствовал.
- rundll_.exe - файл, в который троян копирует сам себя.
- rundll_.bat – исполняемый файл, автоматически создается и используется для копирования трояна в rundll_.exe.
- rundll_twain64.dll - reg-файл, содержащий команды для записи данных в ветвь системного реестра, отвечающего за автозагрузку приложений.
- rundll_dll.sid - служит для хранения уникального идентификатора компьютера (SID). SID имеет вид nnn550.rrr где nnn - десятичное представление серийного номера тома, число 550 жестко зашито в трояне, rrr - 16 случайно подобранных латинских букв в нижнем регистре, от a до w (22 буквы).
- rundll_dll.dll – файл, в котором хранится адрес управляющего сервера.
Распознает следующие команды:
- SERVADDR - установка нового адреса управляющего сервера
- GETKILL - завершение своего процесса.
- USE_TEMP - установка нового рабочего каталога
- USE_AP
- GETRESTART - перезапуск трояна
- GETRUN
- GETTASKS
- GETDISKS
- GETURL
- GETDIR
- NGETFILE
- FTPFILE
- MYGETFILE
- WEBCAMLIST
- WEBCAMSTART
- JPGQUALITY
- SCREEN - создание и отправка скриншота
- TIMER
