Троянец, способный выполнять веб-инжекты, красть пароли от популярных FTP-клиентов, перехватывать данные заполняемых пользователем форм, адреса электронной почты. Распространяется в почтовых рассылках.
Копирует себя в папку WINDOWS\System32\(Filename), имя копии содержит одно из значений: win, video, def, mem, dns, setup, user, logon, hlp, mixer, pack, mon, srv, exec, play, либо сочетание нескольких из них и ряда случайных символов.
Вносит изменения в ветвь реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger --> (Filename)
Хранит данные в ветви реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\(Random 8-character-value)\Default
Выполняет инжекты в следующие процессы:
winlogon.exe, svchost.exe, explorer.exe, msmsgs.exe, iexplore.exe, firefox.exe, myie.exe, avant.exe, mozilla.exe, maxthon.exe, opera.exe, navigator.exe, safari.exe, chrome.exe, thebat.exe, outlook.exe, msimn.exe, ftpte.exe, coreftp.exe, filezilla.exe, totalcmd.exe, cftp.exe, FTPVoyager.exe, SmartFTP.exe, WinSCP.exe.
Передает на удаленные серверы информацию об инфицированном компьютере, получает оттуда данные для осуществления веб-инжектов и различные команды.