Данная вредоносная программа написана на языке C и сохраняется на диск под видом стандартной динамической библиотеки с именем SetupEngine.dll. После запуска BackDoor.Bitsex помещает в одну из папок два файла: Audiozombi.exe и SetupEngine.dll, после чего запускает первый на выполнение. Он, в свою очередь, вызывает библиотеку SetupEngine.dll. Затем BackDoor.Bitsex расшифровывает имя управляющего сервера и устанавливает с ним соединение. Также троянец проверяет, не загружены ли в системе антивирусные программы (для чего получает список активных процессов), и отправляет соответствующий отчет на удаленный сервер злоумышленников.
После этого троянец запускает кейлоггер — программу, запоминающую все нажатия клавиш на клавиатуре зараженного компьютера. Результат сохраняется в файл info.dat в папке %SYSTEMROOT%\SYSTEM32.
BackDoor.Bitsex позволяет выполнять на инфицированном компьютере следующие команды и реализовывать перечисленные ниже функции:
- удаленный просмотр файлов и дисков;
- отправка скриншотов;
- отправка на удаленный сервер фотографий, полученных с подключенной к компьютеру камеры (при ее наличии);
- отправка файла, содержащего записи о нажатых клавишах (info.dat);
- получение списка запущенных процессов;
- скачивание и запуск файлов;
- обновление;
- очистка журнала системных событий;
- открытие заданной веб-страницы в браузере по умолчанию;
- поддержка соединения по протоколу remote desktop на определенном порту;
- создание http-прокси сервера на определенном порту;
- поиск процесса по имени;
- поиск заголовка окна;
- вывод на экран инфицированного компьютера заданных сообщений;
- назначение нового управляющего сервера;
- осуществление DDoS-атаки на заданный сервер;
- создание нового пользователя Windows;
- выполнение команд cmd.exe;
- изменение параметров автозагрузки;
- самоудаление.
