Cuando se ejecuta, examina si ya ha sido instalado en el equipo actual. Si no existe, crea uno o varios archivos en la siguiente ubicación:

  c:\windows\system32\[nombre de archivo]

Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows:

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run
  [valor] = c:\windows\system32\[nombre de archivo]

Donde [valor] es un nombre al azar.

El troyano permanece en memoria y monitorea las ventanas del navegador cuando éste accede a determinadas páginas, pertenecientes a instituciones bancarias, captura la salida del teclado.

La información capturada es almacenada en un archivo que luego será enviado a una dirección electrónica predeterminada.

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que contengan alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.