Hallo Martin!

da finde ich leider keine konkrete Information, nur ein paar allgemeine, oberflächliche Hinweise.

corelabs hat diesen trojaner untersucht und festgestellt, dass die kommunikation mit den servern zwar irgendwann verschlüsselt wird, aber der schlüssel wird im klartext über http übertragen.
war auch mehr zur info gedacht, falls sich jemand näher dafür interessiert.

Das ist ein Foren-Thread mit Dutzenden von Links - erwartest du, dass ich mir jeden davon ansehe, und mir überlege, ob es wohl das ist, was du meinst?

die adressen stehen alle gleich im zweiten posting, hier der link zu einem bios für den ibm x60:
http://rapidshare.com/files/261549180/7nuj20us_TC-5M_SLIC21.zip

freundl. Grüsse aus Berlin, Raik