Троян для внедрения основного модуля бэкдора в процесс svchost.exe.
Устанавливается в системе по пути:
- C:\WINDOWS\system32\tpframe.exe
Взаимодействует с следующими серверами:
- creatfile.*****.net
- creatnimei.******-wiki.com
- atoi.******.net
Передает на управляющие сервера данные о компьютере жертвы. Причем заголовок отправляемых данных имеет вид:
<html><title>12356</title><body>