Описание: Троян-бекдор, с компонентом клавиатурного перехватчика. Написан на дельфи, упакован с помощью UPX.

1. Троян копирует себя в папку %System% или %Windir% со следующими именами:

%System%\Main.exe
%System%\Loader.exe
%System%\Msmsg.exe
%System%\Winserv.dll
%System%\Fservice.exe
%System%\Sservice.exe
%Windir%\Winlogon.exe

2. Также создает в папке %System% следующие dll и регистрирует их в системе:

• %System%\wininv.dll
• %System%\winkey.dll

3. Добавляет записи в следующие ключи реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
добавляя следующие значения:

"MSNMESENGER"="%System%\Main.exe"
"DirectX for Microsoft Windows"="%System%\Fservice.exe"
"DirectX for Microsoft Windows"="%System%\Sservice.exe"
"StubPath"="C:\Windows\system\Sservice.exe"

4. Изменяет значение Shell в следующем ключе реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Из "explorer.exe" на "explorer.exe %System%\Fservice.exe"

5. Открывает порт для удаленных команд в интервале от 50000 до 60000.

6. Посылает версию Трояна, IP адрес и порт целевого компьютера к определенному ICQ пользователю через ICQ Web pager.

7. Может внедрять dll файл в Winlogon процесс.