Двухкомпонентный троянец, состоящий из загрузчика, написанного на языке Delphi, и библиотеки с полезной нагрузкой. Проверяет имя процесса на вхождение строки "vcnost.e". Если он запущен не из *vcnhost.e*, останавливает все процессы, содержащие в имени svcnost.
Копирует себя в %APPDATA%\x%RND31%\svcnost.exe, где %RND31% — строка из 31 случайного символа. Затем сохраняет путь к svcnost.exe в ветвь системного реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Init, после чего переименовывает %APPDATA%\x%RND31% в %APPDATA%\x%RND31%2.
Запускает собственную копию, если она запущена с привилегиями администратора, вносит ряд изменений в системный реестр с целью обхода брандмауэра Windows и перезаписывает файл hosts, блокируя пользователю доступ к веб-сайтам производителей антивирусных программ. Наконец, загрузчик помещает в оперативную память компьютера содержащую полезную нагрузку динамическую библиотеку и передает ей дальнейшее управление.
Читает значение из ветви реестра HKCU\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\SavedLegacySettingsML, если происходит ошибка, записывает туда девять случайных цифр в качестве идентификатора бота.
Сохраняет в файл %APPDATA%\desktop.ini библиотеку для работы с SSL.
Сохраняет в файл %APPDATA%\ntuser.dat библиотеку zlib.
Содержит код для получения учетных данных MS Outlook, The Bat!, сервиса автозаполнения Windows.
Отправляет последовательность запросов на случайные IP-адреса, подобранные по специальному алгоритму из списка хранящихся в ресурсах троянца подсетей. Затем троянец устанавливает соединение с одним из трех управляющих серверов, адреса которых хранятся в теле библиотеки в зашифрованном виде, и ожидает от него получения конфигурационного файла.
Проверяет возможность отсылки с зараженного компьютера спама, отправляя по электронной почте сообщения со случайным набором символов. Если проверка прошла успешно, троянец получает с удаленного сервера данные для последующего проведения спам-рассылки.
