Haciendo uso de la técnica de la fuerza bruta, el troyano intenta ingresar a las redes con recursos compartidos como Administrador o usuario.

Es un PE (Portable Ejecutable) infecta Windows 98/NT/2000/NT/Me/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 44 KB, está compilado pero no encriptado. 

Al ser ejecutado libera los archivos Rundl132.exe y Logo1_exe los cuales copia al directorio %Windir% liberando además el archivo dll.dll en la carpeta en uso.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

El archivo dll.dll es insertado en el proceso del Iexplorer.exe que monitorea las acciones en el navegador del usuario con el sistema infectado y devuelve esa información al servidor del autor.

para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Load" = "%Windir%\rundl132.exe"  
 
En sistemas operativos basados en tecnologías NT crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Load" = "%Windir%\rundl132.exe" 

Para impedir la descarga de archivos de Internet crea la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
Auto = "1"

Al siguiente inicio del equipo, el troyano termina los siguientes procesos de seguridad: 

• mcshield.exe (McAfee)
• regsvc.exe (Windows Server Suite)

En caso de hallarlo instalado, detiene el servicio del antivirus Kingsoft, producido en la China:

http://www.kingsoft.com/en/akabu.htm

el troyano usa el método de la "fuerza bruta" para intentar ingresar a redes con recursos compartidos como Administrador, usuario o empleando espacios en blanco, en forma aleatoria para acceder a:

• ADMIN$
• IPC$