شماری از قابلیتهای مهم این بدافزار عبارتند از:
· انتشار از طریق حافظه های فلش
· انتشار در سطح شبكه
· پویش شبكه و جمع آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستمهای مختلف
· پویش دیسك كامپیوتر آلوده و جستجو برای فایلهایی با پسوندها و محتوای مشخص
· تهیه تصویر از فعالیتهای خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
· ذخیره سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
· ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
· دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
· برقراری ارتباط امن با سرورهای C&C از طریق پروتكل های SSH و HTTPS
· شناسایی و از كار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و …
· قابلیت آلوده سازی سیستمهای ویندوز XP، ویستا و ویندوز 7
· قابلیت آلوده سازی سیستمهای یك شبكه در مقیاس بالا
ردیف
|
نوع علائم
|
آدرس
|
1
|
وجود كلید رجیستری
|
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages -> mssecmgr.ocx
|
2
|
فایلهای اجرایی و تنظیمات آلودگی
|
windows\system32\mssecmgr.ocx
Windows\System32\ccalc32.sys
Windows\System32\msglu32.ocx
Windows\System32\boot32drv.sys
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
Windows\System32\to961.tmp
Windows\ EF_trace.log
|
روش پاکسازی :
فایل پیوست كه Removal_Tool.rar نام داشته و حجم آن 979,931 بایت است، حاوی فایلهای زیر است:
1- فایل manual_fa.pdf كه راهنمای فارسی استفاده از ابزار است و حجمی برابر 735,297 بایت دارد.
2- فایل remover.exe كه ابزار پاكسازی در این فایل قرار دارد و حجم آن 123,904 بایت است.
3- فایل 7za.exe كه ابزار فشرده سازی مورد استفاده ابزار پاكسازی است و حجمی برابر 587,776 دارد.