A .exe, .scr, .com és .pif kiterjesztésű állományokat támadja meg a kártevő.
A Poskiwing csatlakozik egy távoli szerverhez, amelyről parancsokat fogad, illetve kártékony állományokat tölt le. A vírus számos fájl megfertőzésére képes. Így többek között nem kíméli a .exe, a .com, a .scr és a .pif kiterjesztések valamelyikével rendelkező állományokat sem. A kártevő azonban ezzel nem éri be, ugyanis különböző webes fájlokhoz kártékony kódokat fűz hozzá.
Technikai részletek:
- Létrehozza a következő fájlokat:
%System%\popk.exe
%System%\Shell.pci - Interneten keresztül kapcsolódik egy távoli szerverhez.
- Letölt és lefuttat egy kártékony fájlt.
- Minden cserélhető és hálózati meghajtó gyökér könyvtárába bemásolja a következő fájlokat:
popk.exe
autorun.inf - Minden olyan fájlt megfertőz, amelyek az alábbi kiterjesztések valamelyikével rendelkezik:
.exe
.scr
.com
.pif - Kártékony kódokat fűz hozzá a következő kiterjesztések valamelyikével rendelkező állományokhoz:
.htm
.html
.asp
.jsp
.aspx - Leállítja a biztonsági szoftverekhez tartozó folyamatokat.