Cuando es ejecutado crea una copia de si mismo en la carpeta system32.

Para ejecutarse en cada reinicio del sistema crea la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
  \Image File Execution Options\userinit.exe
  Debugger = [nombre del archivo]

Crea y ejecuta un nuevo hilo en los siguientes procesos:

  csrss.exe
  svchost.exe
  thebat.exe
  msimn.exe
  iexplore.exe
  explorer.exe
  myie.exe
  firefox.exe
  avant.exe
  mozilla.exe
  maxthon.exe

Puede modificar o crear las siguientes claves del registro:

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\opera.exe
  Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\navigator.exe
  Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\safari.exe
  Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\opera.exe
  Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\navigator.exe]
  Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\safari.exe
  Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\chrome.exe]
  Debugger = %ProgramFiles%\Internet Explorer\iexplore.exe

  HKLM\SOFTWARE\Microsoft\Windows\Current Version\
  Internet Settings\[valor]

El troyano intenta conectarse a los siguientes sitios:

  nuomosus.cn/m5/login.php
  witosate.cn/m5/login.php
  cyboheig.cn/mp/login.php

1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del malware.