Инсталляция
После запуска копирует свой файл в каталог Windows под именем "rasor38a.dll" и в системный каталог Windows под именем "winpsd.exe".

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winpsd"="<системный каталог Windows>\winpsd.exe"
Также червь создает уникальный идентификатор "43jfds93872" для определения своего присутствия в системе.

Размножение
Червь ищет email-адреса для рассылки зараженных писем в файлах на жестких дисках с расширениями:

adbh
aspd
dbxn
htmb
phpq
pl
shtl
tbbg
txt
wab
Зараженные письма
Заголовок письма:
Photos
Текст письма:
LOL!;))))
Имя вложения:
photos_arc.exe
Действие
Червь пытается загрузить файл с одного из адресов, прописанных в его теле (окончания ссылок заменены на "x" из соображений безопасности):

http://www.richcolour.com/ispy.x.xxx
http://www.richcolour.com/coco3.xxx
http://www.richcolour.com/guestbook/temp/temp587.xxx
http://zenandjuice.com/guestbook/temp/temp728.xxx
Данный файл является программой удаленного администрирования Backdoor.Win32.Surila.g.

В случае успешной загрузки, файл сохраняется в каталоге Windows под именем "winvpn32.exe" и запускается. Также в системном реестре создается флаг, сигнализирующий об успешной загрузке файла:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer]
"InstaledFlashhMX"="1"
Червь проверяет состояние этого флага, и в случае если он имеет значение "1", повторные загрузки файла производить не пытается.

Прочее
Механизмы распространения данной версии червя прекратят свою деятельность 20 августа 2004 года после 21:11:11, однако установленный на зараженном компьютере Backdoor.Win32.Surila.g останется работоспособным.

www.viruslist.com