Diğer versiyonları:   .ap, .ci, .cr, .cu, .cv, .dr, .f, .fc, .gr, .gz, .hp, .hq, .ik, .iq
Keşfedilme tarihi: 11 Eylül 2007
Update kurtarımı: 11 Eylül 2007
Tanımlanma tarihi: 15.11.2007
Davranış: TrojanDownloader

Teknik detaylar:
Trojan, internet paylaşımı ile bulaştığı sistemdeki kullanıcının bilgisi ve rızası olmadan diğer trojan dosyalarını yükler. Bu trojan Visual Basic Script dili ile yazılmış bir dosyadır. Ve boyutu 1345 byte’tır.

Zarar:
Trojan başlatıldığında 30 ICMP paketleri gönderir,  Daha sonra kurban makinenın tarihini 24.01.1984 tarihine göre değiştirir.

Trojan daha sonra aşağıda belirtilen isimlerdeki işlemlerin çalışmalarını durdurur.

wawa.exe zhuai.exe yangfan.exe liangliang.exe lele.exe boy.exe wuqing.exe xinnuo.exe

Trojan 10 saniye kadar sistemi kilitleyecektir.

Trojan, ActiveX XMLHTTP bileşenlerindeki bir açığı kullanarak aşağıdaki URL’den dosya download edecektir.

http://*****cksafe.org

Temizleme:
Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun. Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın.

1- Orijinal trojan dosyasını silin.

2- Temporary Internet Files klasörünü tamamen silin.

3- Açığı olan ActiveX bileşenini devredışı bırakın.

4- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın.