Cuando se ejecuta crea el siguiente archivo:

  C:\Windows\System32\svchost.exe

Crea la siguiente entrada en el registro de Windows:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\ICF

Para dificultar su detección y eliminación, el troyano utiliza las propiedades de almacenamiento proporcionadas por el sistema de archivo NTFS. En estos sistemas, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream", algo así como tener varios archivos dentro de uno solo.

Estos "streams" quedan ocultos cuando se hace un listado de archivos en el explorador de Windows.

Modifica la configuración del cortafuego de Windows para enmascarar su propio tráfico. Para ello, cuando se ejecuta, inyecta su código en el proceso legítimo de Windows llamado "svchost.exe".

Se conecta a Internet y descarga plantillas de spam, para crear los mensajes que enviara a una lista de direcciones electrónicas obtenidas también del servidor al que se conectó.

El troyano parece instalarse utilizando algunos exploits de conocidos productos, como Flash Player, Acrobat Reader, QuickTime, etc.

También se conecta al siguiente servidor:

  yankdream.info

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

6. Busque la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\ICF

7. Elimine la clave:

  ICF

8. Cierre el editor del Registro del sistema.

9. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.