该样本程序被激活后,将在%systemroot%\system32下生成carss.exe病毒主体和carss.dll文件;利用SCM(服务控制管理器)在注册表中新建一个利用名为Iexplorer的服务,该服务描述为“ Internet Explorer浏览器关键服务,关闭后将无法启动”,显示名为“Internet Explorer”的服务,使得病毒主体获得更高权限,以便做更多的破坏性动作;尔后启动该服务;并利用一个批处理将自身删除;
服务启动后,在后台开启一个IE进程,通过修改内存的方式将carss.dll注入到这个新开启的IE进程中;自动连接远程黑客主机,接受黑客指令被黑客控制,使得黑客可以获取用户计算机上的所有资料,复制或删除任何的文件,或利用用户的计算机资源做其它的破坏性活动;
