Backdoor.Win32.Bifrose.agq
Исполняемый файл размером 23 кб, сжат UPX. В случае запуска скрытно выполняет следующие операции:
1. Пытается удалить файл WINDOWS\system32\server.exe
2. Копирует свой исполняемый файл под именем WINDOWS\system32\server.exe
3. Регистрирует свой файл в автозапуске (стандартный ключ реестра Run, параметр startkey)
4. Работает с ключом реестра SOFTWARE\Wget
5. Модифицирует память процесса explorer.exe, внедряя в его память троянский код, который затем запускается как удаленный поток
6. Завершает работу (после завершения работы происходит самоуничтожение исходного исполняемого, за эту операцию отвечает троянский поток)
Вредоносная программа не маскирует свое присутствие и ее удаление сводится к удалению WINDOWS\system32\server.exe и ключа реестра, применяемого для запуска данного процесса.