Бэкдор, написан на языке ассемблер, представляет собой модуль, реализованный в виде нескольких компонент.
Имеет единственную экспортируемую функцию install, в которой третьим параметром должен передаваться путь к sr.dat. После вызова install происходит расшифровка шелл-кода и передача управления на него.
Далее происходит поиск необходимых API из библиотек: kernel32.dll, advapi32.dll, ntdll.dll, psapi.dll, shell32.dll, Shlwapi.dll, userenv.dll, user32.dll, ws32_2.dll.
Читает конфигурационный файл, который хранится в зашифрованном виде в %PROGRAM%\Internet Explorer\Connection Wizard\Pa.ds.
Определяет, имеется ли прокси путем проверки настроек iexplorer.exe, собирает информацию о компьютере (версию OS, имя компьютера, локальный IP). Ищет процесс explore.exe получает его токен, имперсонируется ImpersonateLoggedOnUser, и вызывает следующие функции: GetUserNameA и LoadUserProfileA.
Перечисляет все запущенные сервисы и устанавливает им следующие флаги:
SERVICE_INTERACTIVE_PROCESS+SERVICE_WIN32_OWN_PROCESSи если такие имеются, читает файлы:
%s\Internet Explorer\kl.dat
%s\Internet Explorer\um.dat
Расшифровывает в памяти и запускает их шелл-коды.
Принимает команды с управляющего сервера, в бэкдоре реализовано подобие telnet-сервера.
