Нагадаємо, що троянці-бекдори сімейства BackDoor.Butirat здатні завантажувати на інфікований комп’ютер і запускати на ньому виконувані файли по команді з керуючого сервера, а також красти паролі від популярних FTP-клієнтів (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP та ін.)
Принцип, використовуваний даними троянцем для зараження комп’ютера жертви, також не відрізняється оригінальністю: BackDoor.Butirat створює свою копію в одній із системних папок і вносить зміни до реєстру, з тим щоб при завантаженні Windows здійснював його автоматичний запуск.
Відмінною особливістю модифікації BackDoor.Butirat.245 є принципово новий механізм, що дозволяє трояну генерувати імена керуючих серверів, в той час як в попередніх версіях адресу командного центру був жорстко прописаний у самій шкідливій програмі. Як і у випадку з нещодавно доданими до бази новими модифікаціями шкідливої програми BackDoor.BlackEnergy, при дослідженні BackDoor.Butirat.245 фахівців «Доктор Веб» чекав сюрприз: троянець автоматично генерує імена керуючих доменів третього рівня. У той же час відповідний домен другого рівня зареєстрований добре відомою компанією, традиційно ігнорує будь-які повідомлення і скарги. Ймовірно, вірусописачі вважали, що зможуть таким способом підвищити «живучість» шкідливої програми у разі відключення одного з керуючих центрів.