получает серийный номер системного жесткого диска.
получает информацию о рабочей частоте центрального процессора, даты системного и видео БИОСов зараженного компьютера из ключей системного реестра:
[HKLM\Hardwsare\Description\System\CentralProcessor\0]
"~Mhz"
[HKLM\Hardwsare\Description\System]
"SystemBiosDate"
[HKLM\Hardwsare\Description\System]
"VideoBiosDate"
получает информацию о системной локали.
формирует следующую ссылку используя полученную информацию и загружает по ней файл:
http://xs*****lax.com/get_frst.php?uid=
Где – полученная троянцем информация о системе.
Скачанный файл сохраняется во временном каталоге текущего пользователя со случайным именем, после чего запускается:
%Temp%\.tmp
Где – четыре случайных символа.
Данный файл имеет размер 11264 байта и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.clag
Также троянец пересылает собранную информацию о зараженном компьютере путем перехода по ссылке:
http://bugreport*****venue.com/rp.txt?ver=&uid=7&iam=I&st=Ok
Где "OS" – версия операционной системы, а "Info" – полученная троянцем информация о зараженном компьютере.
После этого троянец создает во временном каталоге текущего пользователя файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.
