Вирус имеет размер 36 КБ. Написан на языке C++.

Заражение

При запуске зараженного файла:

1. вирус создает скрытый файл с таким же именем, присваивая ему расширение RNT и сохраняет туда свое тело. Запускает созданный файл на выполнение (см. пункт 2). В случае неудачи (например, если файл не был создан) производится инсталляция вируса в систему и запуск его фоновой работы.

2. В ходе выполнения RNT-файла вирус лечит и запускает исходный зараженный файл, после его выполнения — вновь инфицирует. После этого производится инсталляция вируса в систему и запуск его фоновой работы.

Инсталляция

При выполнении тела вируса, он копирует себя в корневой каталог Windows с именем poserv.exe:

%WinDir%\poserv.exe

Для автоматического запуска при загрузке ОС, вирус определяет тип операционной системы. Если это Windows NT/2000/XP, то файл poserv.exe регистрируется как служба с именем «PO system service» и автоматическим запуском при каждой загрузке системы. Если тип операционной системы Windows 95/98, то файл poserv.exe регистрируется в ключе автозапуска системного реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "PO system service"="%WinDir%\poserv.exe"

Деструктивная активность

В ходе фоновой работы вирус следит за появлением окон, в заголовке которых содержатся следующие строки:

ftp
mail
password
telnet

Если такие строки найдены, вирус сохраняет нажатия клавиш на клавиатуре и каждые 5 минут записывает их в следующий файл:

%WinDir%\logger.bin

Вирус пытается удалить службу с именем «BlackICE» и процессы, содержащие в именах следующие строки:

_avpm.exe
aplica32.exe
avconsol.exe
avpm.exe
blackice.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
firewall
frw.exe
iamapp.exe
iamserv.exe
ip_tools.exe
jammer.exe
kerio
lockdown2000.exe
navapw32.exe
navw32.exe
outpost.exe
pcfwallicon.exe
safeweb.exe
sewf.exe
tds2-98.exe
vsecomr.exe
vshwin32.exe
vsmon.exe
vsstat.exe
webscanx.exe
zonealarm.exe

Каждые 4 дня вирус отсылает электронное письмо своему «хозяину». В теле письма содержится следующая информация: имя компьютера, имя текущего пользователя, тип процессора, тип и версия ОС, установленный ServicePack и сохраненные нажатия клавиш из файла %WinDir%\logger.bin.

К письму прикрепляются данные из программы ICQ в том случае, если они присутствуют на компьютере. Это сжатые файлы с расширением dat из каталога %Program files%\ICQ\2002a или каталога, указанного в одном из следующих ключей системного реестра:

[HKEY_LOCAL_MACHINE\ SOFTWARE\Mirabilis\ICQ\DefaultPrefs]
 "2002a Database"
 "2001a Database"
 "2000b Database"
 "2000a Database"

Для определения времени последней отсылки письма используется ключ реестра:

[HKEY_CURRENT_USER\ SOFTWARE\Microsoft]
 "LS"

Максимальный размер отправляемого письма — 2,5 МБ.

Поиск и инфицирование файлов происходит на протяжении всего срока фоновой работы вируса. Вирус находит файлы с расширениями EXE и DOC. При этом EXE-файлы заражаются. При обнаружении DOC-файла в том же каталоге создаётся файл с тем же именем и расширением EXE, куда записывается тело вируса, изменённое так, что файлу соответствует значок такой же, как и у документов MS Word 2000. Если такой файл уже существовал, он не изменяется.

При поиске файлов просматриваются все диски компьютера, начиная с последнего доступного для записи (напр. Z:, Y:, X: :C:) до диска C: включительно. Для каждого диска просматривается дерево каталогов до 12 уровня и в каждом каталоге ищутся файлы с расширениями DOC и EXE, размером между 10 КБ и 2 МБ включительно.

Поиск очередного файла для инфицирования осуществляется примерно через каждые 0,666 секунды.

При инфицировании EXE-файла вирус записывает своё тело (вместе со всеми заголовками) в начало файла. При этом тело вируса изменяется так, что полученному файлу соответствует тот же значок, что и оригинальному.

Не заражаются файлы при выполнении одного из условий:

* файл расположен в корневом каталоге Windows («%WinDir%»);

* размер файла делится на 100 без остатка;

* файл расположен в корневом каталоге;

* длина имени файла (без пути и расширения) меньше 3-х символов;

* файл создан менее часа назад;

* флаги в заголовке *.exe файла указывают, что это *.dll или системный файл. (2 байта со смещением 12h от начала PE заголовка (без сигнатуры 'PE',0,0) имеют одно из значений 1000h или 2000h);

* файл уже заражён этим вирусом (определяется по наличию сигнатуры 'MZ' на смещении в 36КБ от начала файла).

Другие названия

Virus.Win32.Porex.b («Лаборатория Касперского») также известен как: Win32.Porex.b («Лаборатория Касперского»), W32/Porex.b (McAfee), W32.Porex (Symantec), Win32.HLLP.PissOff.36864 (Doctor Web), W32/Porex-B (Sophos), Win32/HLLP.Porex.B (RAV), PE_POREX.A (Trend Micro), W32/Porex.A (H+BEDV), Win32:Porex (ALWIL), Win32/Porex.B (Grisoft), Win32.HLLP.Porex.B (SOFTWIN), W32.Porex.B (ClamAV), W32/Porex.B (Panda), Win32/Porex.B (Eset).