Двухкомпонентный троянец, состоящий из исполняемого файла и библиотеки DLL, распространяется с использованием ресурсов бот-сети Andromeda. Создает ветвь реестра HKCU\Software\AppDataLow_wu2_133 для хранения собственных данных.
Копирует себя в %appdata%\Ms_dir_\msvcrt.exe и прописывает в HKCU\Software\Microsoft\Windows\CurrentVersion\Run\msvcrt_.
Контроль установки в систему осуществляется как при помощи HKCU\Software\AppDataLow_wu2_133\installed, так и при помощи сравнения HKCU\Software\AppDataLow_wu2_133\path с путем к исполняемому файлу, откуда он запущен.
После выполнения этих процедур запускает свою копию и внедряет код самоудаления в svchost.exe. Использует для журналирования файл %temp%\log.tmp.
Ищет по шаблону данные в файлах, хранящихся на всех дисках инфицированного компьютера, кроме диска А:, игнорируя файлы с расширениями .avi, .jpg, .exe, .bat, .reg, .jpeg, .ico, .html, .hlp, .php, .asp, .bmp, .mov, .mp2, .mp3, .mp4, .wav. Обнаруженную информацию троянец шифрует и отправляет на один из принадлежащих злоумышленниками серверов, адреса которых хранятся в теле вредоносной программы.
Основное предназначение — внедрение в Internet Explorer динамической библиотеки, реализующей веб-инжекты при открытии в браузере сайтов visa.com, mastercard.com, americanexpress.com, discovercard.com.
