Esta información, está relacionada con tarjetas de crédito, y es obtenida por medio de ingeniería social de los equipos donde se ejecuta un archivo infectado.

El virus examina si el usuario accede a cualquiera de los siguientes sitios, para capturar dicha información:

  53bank .com
  banking .halifax-online .co .uk
  barclays .com
  crutop .nu
  chechenpress .info
  ebay .com
  goldpoll .com
  intgold .com
  kavkazcenter .com
  kgbrelaxclub .ru
  kidos-bank .ru
  master-x .com
  myonlineaccounts2 .abbeynational .co .uk
  new .egg .com
  olb2 .nationet .com
  online-business .lloydstsb .co .uk
  openbank .com
  paypal .com
  seclab .ru
  securitylab .ru
  stormpay .com
  tat-neftbank .ru
  totallyfreebanking .com
  welcome3 .smile .co .uk
  www .allahabadbank .com
  www .b2b-trust .com
  www .bank-banque-canada .ca
  www .bankofindia .com
  www .bankofmadura .com
  www .bbin .ru
  www .bmo .com
  www .candidateverifier .com
  www .cbr .ru
  www .cibc .com
  www .cwbank .com
  www .icbank .ru
  www .kmb .ru
  www .lbcdirect .laurentianbank .ca
  www .mmbank .ru
  www .nbc .ca
  www .netmagister .com
  www .ponziscams .com
  www .rbc .com
  www .socks .ac
  www .uniastrum .ru
  www .vendorsname .ws
  www .vtb .ru
  www .worldbank .org
  www1 .hsbc .ca
  yambo .biz
 
El virus busca archivos .LNK (accesos directos de Windows), en todos los discos y directorios de la unidad C a la Z, e intenta infectar los ejecutables a los que esos accesos hacen referencia.

Los archivos infectados aumentan su tamaño, ya que el virus se agrega al código original.

Por cada archivo .EXE infectado, crea una copia del mismo con la extensión .IVR.

Una vez que un archivo infectado se ejecuta, un mutex es creado para evitar que más de una copia del virus permanezca activa en memoria.

Cuando está activo, busca archivos ejecutables en todas las unidades de disco de la C a la Z, y los infecta.

Examina constantemente el uso de Internet, y cuando ello amerita, despliega una ventana solicitando información sobre la tarjeta de crédito del usuario.

La información obtenida, es enviada a un servidor remoto, que varía de forma aleatoria de acuerdo a ciertas condiciones.

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en las siguientes claves del registro:

  HKCU\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del virus.