Diğer versiyonları:  .iv, .iw, .oj, .om, .or, .os, .ov, .ox, .qq, .sa
Keşfedilme tarihi: 29 Ekim 2007
Update kurtarımı: 29 Ekim 2007
Tanımlanma tarihi: 15.11.2007
Davranış: TrojanDropper

Teknik detaylar:
Trojan, kurban makinaya kullanıcının haberi olmadan yada izin vermesiyle diğer zararlıları yükleyecek şekilde hazırlanmıştır. Trojan  windows PE formatındaki exe uzantılı bir dosyadır. Boyutu 89600 Byte’dır UPX kullanılarak sıkıştırılmıştır, sıkıştırılmamış dosyanın boyutu 136KB’ dir ve Visual basic dili ile yazılmıştır.

Zarar:
Bir kere başlatıldığında, "KB860509.log" adındaki dosyayı Windows klasörüne extract edecektir.

%WinDir%\KB860509.log

Bu dosya 26624 Byte’dir, Bu dosya KAV antivirüs tarafından as Trojan.Clicker.Win32.VB.ss. olarak bulunacaktır.

Bu dosya daha sonra değiştirilecektir. Yeni dosyanın adı "msswchx.exe":

%WinDir%\msswchx.exe

Dosya bir sistem servisi gibi kurulacaktır.

Bir kere başlatıldığında, "wmpStatus.dll" adındaki dosyayı Windows’un sistem  klasörüne extract edecektir.

%System%\wmpStatus.dll

Bu dosya 55808 Byte’dir, Bu dosya KAV antivirüs tarafından as Trojan-Clicker.Win32.VB.up. olarak bulunacaktır.

Bu dosya daha sonra sistem klasörüne "migload.exe" dosyasını kopyalayacaktır.

%System%\migload.exe

Trojan "boot.ini" adındaki dosyayı Windows klasörüne kendi içeriğinden extract edecektir.

%WinDir%\boot.ini

Bu dosya 8192 Byte’dir, Bu dosya KAV antivirüs tarafından as Trojan-Clicker.Win32.VB.uo. olarak bulunacaktır.

Bu dosya daha sonra sistem klasörüne "userinit.exe" dosyasını kopyalayacaktır.

%WinDir%\userinit.exe

Trojanın sisteme kurulumu ile sayfalar açılarak standart olmayan dil hakkında uyarı verilmesini önleyici olarak düzenlenmiştir. Ve bunun içinde aşağıdaki kayıt defteri anahtar girdisini ekler.

[HKCU\Software\Microsoft\Internet Explorer\International]

"AcceptLanguage"="zh-cn"

Trojanın zararları bir kere sisteme bulaştığında kendi içeriğini silecektir.

Temizleme:
Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun. Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın.

1- Orijinal trojan dosyasını silin.

2- Aşağıdaki trojanın oluşturduğu dosyaları silin.

%WinDir%\msswchx.exe %System%\wmpStatus.dll %System%\migload.exe %WinDir%\boot.ini %WinDir%\userinit.exe

3- Aşağıdaki registry girdisini silin.

[HKCU\Software\Microsoft\Internet Explorer\International] "AcceptLanguage"="zh-cn" [HKLM\System\\Enum\Root\LEGACY_NETWSCSVC] [HKLM\System\\Services\Netwscsvc]

4- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın