Многокомпонентный троянец. Функционал зависит от набора модулей.
Для имитации процесса установки и обхода эмуляторов создает файл %TEMP%\Adobe_Flash_Install.Dat и с небольшими паузами доводит его размер до ~100 Мб. Затем сразу удаляет данный файл и переходит к настоящей инсталляции.
В процессе инсталляции создает папку %APPDATA%\Intel и размещает в ней все свои компоненты. Примеры создаваемых файлов:
- %APPDATA%\Intel\Data\Dtl.dat
- %APPDATA%\Intel\Data\glp.uin
- %APPDATA%\Intel\Guarder32.dat
- %APPDATA%\Intel\sfew.dat
- %APPDATA%\Intel\Loader32.dll
- %APPDATA%\Intel\Loader32.dat
- %APPDATA%\Intel\InstRes32.exe
- %APPDATA%\Intel\InstRes32.dat
- %APPDATA%\Intel\InstRes32.exd
- %APPDATA%\Intel\AppList.dat
Может закрепиться в системе двумя основными способами (зависит от окружения и прав текущего пользователя):
- Прописывается в системный реестр
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "%APPDATA%\Intel\Loader32.dll"
LoadAppInit_DLLs = 1 - Либо путем создания ярлыка в папке автозагрузки:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ITEUPATE.lnk
илиC:\Documents and Settings\<username>\Start Menu\Programs\Startup\ITEUPATE.lnk
Зафиксировано наличие модулей для кражи паролей и другой конфиденциальной информации из браузеров.