Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Rozmiar pliku robaka to 27 136 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 65 024 bajty). Szkodnik powstał przy użyciu języka programowania C++. - czytamy w Interia.pl.
Po uruchomieniu robak kopiuje się do foldera Windows z nazwą rasor38a.dll oraz do WindowsSystem z nazwą winpsd.exe i tworzy w rejestrze systemowym klucz auto-run:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"winpsd"="winpsd.exe"
Dodatkowo, w celu oznaczenia zainfekowanego komputera, szkodnik tworzy unikatowy identyfikator o nazwie 43jfds93872.
Wirus rozprzestrzenia się pocztą elektroniczną. Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:
TXT
HTMB
SHTL
PHPQ
ASPD
DBXN
TBBG
ADBH
PL
WAB
Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.
Zainfekowane maile mają temat "photos" i załącznik photos_arc.exe
Robak pobiera z internetu backdoora Backdoor.Win32.Surila.g, zapisuje go w folderze Windows z nazwą winvpn32.exe i uruchamia go. Szkodnik tworzy także kolejny klucz w rejestrze systemowym:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer]
"InstaledFlashhMX"="1"
Szkodnik zdezaktywuje procedurę rozprzestrzeniającą 20 sierpnia o godzinie 21:11:11.
