Diğer versiyonları:   .ap, .ci, .cr, .cu, .cv, .dr, .f, .fc, .gr, .gz, .hp, .hq, .ik, .ip
Keşfedilme tarihi: 12 Eylül 2007
Update kurtarımı: 12 Eylül 2007
Tanımlanma tarihi: 15.11.2007
Davranış: TrojanDownloader

Teknik detaylar:
Trojan, internet paylaşımı ile bulaştığı sistemdeki kullanıcının bilgisi ve rızası olmadan diğer trojan dosyalarını yükler. Bu trojan Visual Basic Script ve Java script dili ile düzenlenmiş bir HTML sayfasıdır. Ve boyutu 6146 byte’tır.

Zarar:
Bir kere başlatıldığında trojan kendisini çözer ve çalışan sistem hafızasına kodlarını yerleştirir.

{BD96C556-65A3-11D0-983A-00C04FC29E36}

Trojan, ActiveX XMLHTTP bileşenlerindeki bir açığı kullanarak aşağıdaki URL’den dosya download edecektir.

http://81.95.***.***/dz/loader.exe

Trojan “ADODB.Stream”  ActiveX bileşeni açığını kullanarak aktif kullanıcının Windows Temporary klasörüne aşağıdaki dosyayı kaydeder.

%Temp%\updaterr.pif

Download edilen dosya rasgele dosya isimleri ile Windows Klasörüne aşağıdaki dosyayı kaydeder.

%WinDir%\.pif

rasgele sözcükler olabilir.

kaydedilen dosyalar çalıştırılmak için başlatılır.

Temizleme:
Sisteminizdeki antivirüs yazılımı varsa update yapın yada KAV antivirüsü sisteminize kurun. Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın.

1- Orijinal trojan dosyasını silin.

2- Aşağıda belirtilen dosyaları silin.

%Temp%\updaterr.pif
%WinDir%\.pif

4- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın.