Végrehajtásakor ez a memória-rezidens kártevõ valamelyik alábbi állománynéven bemásolja magát a Windows rendszer-mappába. A nevek igen hasonlóak egyes valódi Windows rendszer-fájlok nevéhez.
- Isass.exe
- lssas.exe
- spooIsv.exe
- winamp.exe
- algs.exe
- csrs.exe
- iexplore.exe
Hozzátesz egy állományt az Application Data mappához is:
- %AppData%\bcrypt.html
%AppData% az Application Data rendszer-mappát jelöli. Elérési útja általában: C:\Documents and Settings\[Felhasználónév]\Application Data
Az alábbi registry bejegyzések valamelyikével biztosítja, hogy rendszer-indításkor automatikusan végrehajtódjék.
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- Local Security Authority Service = %System%\Isass.exe
- Local Security Authority Service = %System%\lssas.exe
- Spooler SubSystem App = %System%\spooIsv.exe
- Winamp Agent = %System%\winamp.exe
- Application Layer Gateway Service = %System%\algs.exe
- Client Server Runtime Process = %System%\csrs.exe
- Microsoft Internet Explorer = %System%\iexplore.exe
%System% a Windows rendszer-mappát jelöli. Alapértelmezésben elérési útja: C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), illetve C:\Windows\System32 (Windows XP).
Elkészíti a következõ registry bejegyzéseket is:
[HKCU\Software\bcrypt]
- null
[HKCU\Software\bcrypt]
- i = 0x000007D9
A kártevõ nyitott portok után kutat, s egy meg nem határozott IRC szerverre kapcsolódva a távoli támadónak szolgáltatja ki az áldozat gépét. A távoli felhasználótól a következõ parancsokat kaphatja:
- Állományok letöltése és feltöltése
- Hálózati csomagok figyelése
- Bejelentkezési azonosítók és cache-elt jelszavak gyûjtése Flash FXP-bõl, Internet Explorerbõl, MSN-rõl és Outlook Expressbõl
Gyûjti az alábbi hálózati információkat:
- hostnév
- típus
- IPv6
- késleltetés
- tûzfal
- sebesség
Gyûjti az alábbi rendszer-információkat:
- CPU sebesség
- Szabad lemezterület
- Szabad memória
- Számítógép-név
- Felhasználó
Gyenge felhasználónév-jelszó listája segítségével megosztott hálózati meghajtókra másolja fel magát, illetve ismert Windows sérülékenységek révén terjed.
Listája alapján ellenõrzi, hogy jelen vannak-e az alábbi folyamatok:
- Visual C++ 6
- UnrealIRCD
- Steam:
- World Of Warcraft
- Conquer Online
| 
