Программа предназначена для обеспечения скрытной работы других программ. Выполнена в виде драйвера ядра NT (kernel mode driver).
Файл программы имеет размер 5760 байт и часто называется msdirect.sys. Является частью троянской программы Backdoor.Win32.ForBot.t.
При загрузке перехватывает системные сервисы путем замены обработчика в KeServiceDescriptorTable:
* ZwQueryDirectoryFile, для сокрытия наличия файлов на диске;
* ZwQuerySystemInformation, для сокрытия процессов;
* ZwOpenFile, для блокирования доступа к своим файлам (не реализовано);
* ZwQueryValueKey, для сокрытия занчений ключей реестра (не реализовано).
Под Windows XP и выше, вероятнее всего, будет инициировать системный сбой (BSOD). Никаких других действий не производит.
Содержит строки:
* rootkit: detected file/directory query from _root_ process
* rootkit: detected system query from _root_ process
* rootkit: hiding process, pid: %d',9,'name: %s