Cuando se ejecuta, el troyano puede copiar uno o varios archivos en la siguiente ubicacion:

  C:\Windows\System\[nombre de archivo]

Para autoejecutarse en cada reinicio crea la siguiente entrada en el registro de Windows:

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run
  [valor] = [ruta y nombre del archivo]

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

El troyano permanece en memoria y monitorea las ventanas del navegador abiertas por el usuario. Cuando éste accede a determinadas páginas, pertenecientes a instituciones bancarias, captura la salida del teclado, capturando datos críticos, como por ejemplo nombre de usuario, datos de tarjetas de créditos, números de cuentas bancarias, y todo lo que el usuario ingrese en cualquier formulario dentro de los varios sitios:

Algunos sitios posibles:

  Alfanet.com.br
  Bancosantos.com.br
  Banespa.com.br
  Banestado.com.br
  Banestes.com.br
  Bankboston.com.br
  Banrisul.com.br
  Bb.com.br
  Bradesco.com.br
  Caixa.com.br
  Cef.gov.br
  Hsbc.com.br
  Itau.com.br
  Santander.com.br
  Serasa.com.br
  Sudameris.com.br
  Home.citidirect-br.citibank.com
  Ib.beg.com.br
  Bancobrasil.com.br
  Rural.com.br

La información capturada es almacenada en un archivo que luego será enviado a una dirección electrónica predeterminada.

El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.

Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.

El troyano posee una característica que lo hace visible, y podría alertar a un usuario prevenido. Cuando se ejecuta, puede mostrar una ventana con el siguiente mensaje:

  Run time error
     [ OK  ]

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a los archivos anotados en el paso 3, en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

NOTA: Se sugiere cambiar todas las contraseñas y otra información crítica que pudiera haber sido robada de su computadora, incluidos los datos de su tarjeta de crédito y cuentas bancarias.