Al ejecutarse también descarga, sin el conocimiento del usuario, determinados archivos de diferentes sitios de Internet y se conecta a otros para enviar la información robada.

Los siguientes archivos pueden ser creados en un equipo infectado (entre otros):

  c:\autorun.inf
  c:\jdwx.exe
  c:\windows\explorer.exe
  c:\windows\system32\amvo.exe
  c:\windows\system32\amvo0.dll
  c:\windows\system32\amvo1.dll
  c:\temp\n.dll

Para ejecutarse en cada reinicio de Windows la siguiente entrada podría ser creada:

  HKCU\Software\Microsoft\Windows
  \CurrentVersion\Run
  amva = "%System%\amvo.exe"

También crea la siguente clave para sus propios propositos:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
  CheckedValue = 0x00000000

Se conecta a el siguiente sitio para descargar otro malware:

   http : // www . om 7890 . com /fm4/

Además de ser un grave peligro para la seguridad, el troyano puede interferir en el normal funcionamiento del equipo infectado, causando enlentecimientos de algunas acciones, y la generación de actividad en la conexión a Internet y a la red local, y consumo del ancho de banda.

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.