Este troyano está diseñado para robar información financiera confidencial. El troyano en sí es un archivo Windows PE EXE. El tamaño del archivo puede variar entre 356KB a 1MB o más.
Una vez ejecutado, el troyano hace que el siguiente mensaje de error que se mostrará:
Durante la instalación, el troyano se copia en el sistema operativo Windows y los directorios de inicio como System32.exe:
-Documents y Settings \ All Users \ Start Menu \ Programs \ Startup System32.exe \
% System% \ System32.exe.
A continuación, registra este archivo en el registro del sistema, asegurando que el troyano se ejecute cada vez que Windows se reinicia en el ordenador de la víctima:
[HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"system32" = "% System% \ System32.exe"
Otras variantes de este troyano puede guardar copias de sí mismos con nombres diferentes.
Posteriormente lo que realiza el virus troyano examina todos los recursos de red abierta y la Internet para los enlaces a los servicios bancarios y otros documentos financieros. Que todo lo que ingreso a través del teclado (conexión y contraseña), guarda esta información en un archivo de texto que ha creado en el directorio de sistema de Windows.
El troyano envía peieriódicamente este archivo de texto a los usuarios maliciosos a través de un correo electrónico.