Cuando es ejecutado se copia en las siguientes carpetas:

  C:\Windows\System32\csrcs.exe
  C:\Windows\System32\cftmem.exe
  C:\Windows\System32\cftm.exe
  C:\Windows\System32\alokium.exe
  C:\Windows\System32\[valor].exe
  C:\Windows\System32\autorun.inf
  C:\Windows\System32\[valor].au3
  C:\Windows\temp\[valor].tmp
  C:\Windows\temp\[valor]
  C:\Windows\temp\suicide.bat
 
Para ejecutarse en cada reinicio del sistema crea las siguientes claves del registro:

  HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run
  "csrcs" = "C:\Windows\System32\csrcs.exe"
 
  HKLM\Software\Microsoft\Windows\
  CurrentVersion\RunServices
  "csrcs" = "C:\Windows\System32\csrcs.exe"

  HKLM\Software\Microsoft\Windows\
  CurrentVersion\policies\Explorer\Run
  "csrcs" = "C:\Windows\System32\csrcs.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\
  Run
  "csrcs" = "C:\Windows\System32\csrcs.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\
  RunServices
  "csrcs" = "C:\Windows\System32\csrcs.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\
  policies\Explorer\Run
  "csrcs" = "C:\Windows\System32\csrcs.exe"

  HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run
  "cftmem" = "C:\Windows\System32\cftmem.exe"

  HKLM\Software\Microsoft\Windows\
  CurrentVersion\RunServices
  "cftmem" = "C:\Windows\System32\cftmem.exe"

  HKLM\Software\Microsoft\Windows\
  CurrentVersion\policies\Explorer\Run
  "cftmem" = "C:\Windows\System32\cftmem.exe"

  HKLM\SOFTWARE\Microsoft\Windows NT\
  CurrentVersion\Winlogon
  "Shell" = "Explorer.exe csrcs.exe"
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Explorer\Advanced
  "Hidden" = 2

  HKLM\SOFTWARE\Microsoft\Windows NT\
  CurrentVersion\Winlogon
  "Shell" = "Explorer.exe csrcs.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\
  Explorer\Advanced
  "Hidden" = 2
  "SupperHidden" = 0
  "ShowSupperHidden" = 0

  HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
  "CheckedValue" = 1
 
  HKLM\SYSTEM\CurrentControlSet\Services\
  SharedAccess\Parameters\FirewallPolicy\StandardProfile\
  AuthorizedApplications\List
  "%filepath%" = "%filepath:*:Enabled:Windows Life Messenger"

El gusano puede ser controlado en forma remota, las acciones que puede realizar son las siguientes:

  Crear entradas en el registro
  Modificar entradas en el registro
  Borrar entradas en el registro
  Obtener información del sistema
  Descargar archivos
  Ejecutar archivos
  Eliminar archivos
  Terminar procesos

1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del malware.