Pertengahan Desember lalu, pihak Computer
Emergency Readiness Team milik pemerintahan Iran menemukan sebuah malware baru
yang menghapus data di drive D:, E:,
F:, G:, H: dan I:. Mereka kemudian mengirimkan ssempel tersebut ke pihak Sophos
untuk dianalisis. Hasil analisis dari Sophos menunjukkan bahwa malware tersebut
merupakan Trojan yang didistribusi sebagai arsip WinRAR dengan nama
GrooveMonitor.exe. Saat dieksekusi, ia akan menghasilkan tiga file baru bernama
juboot.exe, jucheck.exe, dan SLEEP.exe. juboot.exe dan jucheck.exe menyembunyikan diri mereka
sebagai program autoupdate Java. Juboot.exe sendiri sebenarnya adalah
file batch DOS yang sudah dikonversi
ke Windows PE, lalu ia akan menggunakan SLEEP.exe
untuk menunda selama dua detik dan membuat entri registry untuk memasukkan jucheck.exe
ke dalam sistem boot.
Selama eksekusi, jucheck.exe akan menghapus GrooveMonitor.exedan juboot.exe untuk mencocokkan barbagai
durasi tanggal, mulai 10 Desember 2013 sampa 4 Februari 2015. Jika tanggalnya
cocok maka ia akan menunggu 50 menit, lalu melakukan proses delete pada drive yang sudah di
cantumkan untuk dieksekusi.