- Червь. Для распространения использует классический autorun.inf.
- Копирует себя в корневую папку дисков.
- Заражает RAR-архивы, дописывая себя в них, используя одно из следующих имен: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. В некоторых случаях архивы получаются битыми.
- Несет в себе 2 исполняемых файла, один из которых сохраняется в папку установки Windows в виде библиотеки mssys.dll и прописывается в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, а второй встраивает в копию собственного процесса.
Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.
