Cuando es ejecutado crea una copia de si mismo en la siguiente carpeta:

  C:\Windows\System32\xflash.exe

Se registra como un servicio utilizando el nombre "xflash"

Para ejecutarse en cada reinicio del sistema crea la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  xflash" = "xflash.exe

El malware roba información relacionada con las siguientes aplicaciones:

  Miranda
  Trillian
  ICQ

También puede obtener los siguientes datos del equipo:

 Versión del sistema operativo
 Dispositivos conectados
 Información del ordenador
 Cuentas de correo electronico
 Cuentas de FTP

Dicha información es enviada a un sitio predeterminado.

El troyano también puede descargar y ejecutar otros archivos de Internet.

1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del malware.