IRC-бот, способен выполнять DDoS-атаки, красть пароли от FTP-клиентов и данные веб-форм, загружать с удаленного сервера и запускать приложения.
Обладает функциями антиотладки, проверяя в памяти наличие процессов приложений-отладчиков и виртуальных машин.
Ищет и завершает первый найденный процесс cmd.exe. Сохраняет свою копию в папку %APPDATA%%rnd10%.exe, где %rnd10% - случайная строка из 10 символов латинского алфавита. Модифицирует системный реестр, записывая путь к исполняемому файлу в ветвь:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Отслеживает состояние данной ветви и восстанавливает удаленные значения.
Выполняет инжект вредоносной процедуры во все запущенные процессы, также запускает собственный процесс. Проверяет, инфицирован ли компьютер, сравнивая имя папки, из которой троянец был запущен, с именем %APPDATA%. Повторяет попытки записи в реестр 25 раз с интервалом в 10 секунд.
