Al ejecutarse, el dropper crea un archivo DLL con alguno de los siguientes nombres:

  C:\Wndows\System32\sysgina32.dll
  C:\Windows\System32\wing32.dll
  C:\Windows\System32\wingina32.dll

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Agrega la siguiente entrada en el registro, para ejecutarse en cada reinicio del sistema:

  HKLM\Software\Microsoft\Windows NT
  \CurrentVersion\WinLogon
  GinaDLL = [nombre DLL]

El troyano captura la información de acceso a la red, del usuario infectado (nombre de usuario, contraseña y dominio), y la almacena en uno de los siguientes archivos:

  \temp\config.ini
  \temp\ntservice.ini

La ubicación de la carpeta "TEMP" puede ser:

En Windows 9x/ME:

  c:\windows\TEMP

En Windows NT, XP, 2000 y Server 2003:

  c:\documents and settings\[usuario]\local settings\TEMP

También puede crear en el sistema los siguientes archivos:

  - +++++ .txt
  gina.exe
  gina.exe
  sysgina32.dll
  trojan.win32.fakegina.l.exe
  ttian.net.htm
  wing32.dll
  wingina32.dll
  xmail.exe

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "GinaDLL", en la siguiente clave del registro:

  HKLM\Software\Microsoft\Windows NT
  \CurrentVersion\WinLogon

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.