Троянская программа, обладающая функционалом кейлоггера, способна выполнять на инфицированном ПК поступающие от злоумышленников команды. В процессе заражения запускается файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) — для этого из ресурсов троянца извлекается библиотека Win7ElevateDll, детектируемая как Tool.Winelevate.1. Затем с использованием sysprep запускается файл ps.exe (Trojan.MulDrop4.61259), который сохраняет на диск библиотеку C:\Program Files\Internet Explorer\icwnet.dll. Данная библиотека регистрируется в реестре Windows как служба с именем Net Security Service и описанием: "keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device". Служба запускается при помощи функции StartService и работает в контексте процесса svchost.exe.
После запуска BackDoor.Saker.1 собирает сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Все эти сведения передаются на принадлежащий злоумышленникам удаленный сервер. Затем троянец создает в одной из системных папок файл %SYSTEM32%\mskolog.dat, в который записываются нажатия пользователем клавиш на клавиатуре компьютера.
Троянец способен выполнять следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор, или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.
