Является приложением Windows (PE EXE-файл). Упакована UPX. Размер файла — около 6 КБ. Размер в распакованном виде — около 32 КБ.
Деструктивная активность
Послезапуска программа проверяет наличие выполняющейся своей второй копии,если таковая имеется, то программа завершает свою работу.
Впротивном случае, программа получает из интернета список URL, с которыхдолжна производиться загрузка вредоносных программ и сохраняет его взашифрованном виде в файле svcp.csv в системном каталогеWindows. Послеэтого загружает указанные файлы и запускает их. Файлы сохраняются всистемном каталоге Windows с их оригинальными именами.
Программа для хранения своих данных также использует файл winsub.xml в системном каталоге Windows и следующий ключ реестра:
[HKEY_CURRENT_USER]
"WindowsSubVersion"