Многокомпонентный файловый вирус, написан на языках С и Ассемблер. Встраивает в браузер библиотеки rmnsoft.dll, modules.dll, сохраняет во временную папку драйвер, регистрирует его под именем Micorsoft Windows Service и запускает. Копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe.
Модуль бэкдора способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку снимка экрана и даже команду уничтожения операционной системы. Использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, адреса самих командных центров генерируются динамически.
Загруженные бэкдором компоненты вируса и конфигурационные файлы сохраняются в зашифрованный файл с расширением .log в папку %APPDATA%. Лоадер modules.dll загружает данные из файла с расширением .log и настраивает их непосредственно в оперативной памяти компьютера, вследствие чего используемые вирусом компоненты на жестком диске ПК не расшифровываются.
Вирус способен останавливать процессы антивирусных программ и модифицировать MBR. Сохраняет собственные файлы в зашифрованном виде в конце диска. В процессе загрузки управление передается инфицированной MBR, которая читает и расшифровывает в памяти вредоносные модули, после чего запускает их.
Загружает модули: Ftp Grabber v2.0, Anonymous Ftp Server v1.0, Hide Browser v1.1, Hooker 3 Spy module. Имеет полиморфный инфектор, заражает файлы от точки входа, а тело хранит в ресурсах со случайным именем.
