این ویروس از طریق فایل asid.rar که به ایمیل ضمیمه شده است خود را منتشر کرد که شامل فایلی است به نام asid.exe. این فایل، یک فایل فشرده شده است که حاوی دو فایل دیگر به نامهای زیر است:
در تصویر پایین میبینید که بعد از اجرای فایل asid.exe ابتدا فایل asid.docx اجرا میشود که یک فایل متنی است. فایل متنی که احتمالاً از روی وبلاگهایی کپی شده درباره ماجرای قصاص اسیدپاشی نوشته است.
بعد از اجرای این فایل متنی، فایل winzip.exe اجرا میشود. این فایل بسته به نوع سیستمعامل، فولدرها و فایلهای زیر را ایجاد میکند:
۱- در ویندوزهای دسته اول یعنی ۹۸ یا XP در مسیر C:\Programfiles\CommonFiles فولدری با نام VMConvert32 ایجاد میکند.
۲- در ویندوزهای دسته دوم یعنی ۲۰۰۸، ویستا و ویندوز هفت در مسیر AppData\Roaming فولدری بانام VMConvert32 ایجاد میکند.
در این فولدر فایلهای زیر دیده میشود:
همچنین بعد از اجرای winzip.exe علاوه بر فولدرهای بالا در رجیستری کلیدی ایجاد میشود تا برنامه را به این صورت خودکار اجرا کند:
خب حالا به بخش جالب ماجرا میرسیم. بعد از یک بار ریاستارت کامپیوتر برنامه همراه explorer.exe در ویندوزهای دسته اول و به صورت یک پروسس مجزا در ویندوزهای دسته دوم اجرا میشود. بعد از راهاندازی ویندوز، تروجان شروع به کار میکند و تمامی اطلاعاتی را که در کلیپبرد وارد میکنید (همان جای موقتی که نوشتهها را بعد از کپی در خود نگه میدارد تا آن را در جایی که میخواهید پیست کنید) و برنامههای اجرا شده در سیستم و هر کلیدی را که فشار میدهید، در فایل wmccds.dat ذخیره میکند و به محض اتصال به اینترنت، فایل گزارشی با نام temp997.htm ایجاد کرده و برای آدرس تعریف شده در تروجان (مثلاً ایمیل یا سرور نویسنده این تروجان) ارسال میکند.
توجه داشته باشید که این تروجان تمام اطلاعات و گذرواژههای ذخیره شده در مرورگرهای اینترنت اکسپلورر، فایرفاکس و اپرا را هم استخراج کرده و آنها را هم ارسال میکند. دراین برنامه همچنین امکانی تعریف شده تا بتواند با اتصال به سروری که در دل برنامه تعریف شده، برنامههای دیگری را روی سیستم دانلود و اجرا کند.
این برنامه از طریق ایمیل و فلش مموری تکثیر میشود.
این هم نمونهای از متن ارسالی توسط این برنامه:
توجه: فایل پیوست این ایمیل با نام main937.exe ارسال میشود.
برای پاکسازی کافیست فولدرهای یاد شده برنامه را به صورت کامل پاک کنید.