Files có tên sau đây được chèn vào quá trình chạy của hệ thống:
         %system%\mmvo%number%.dll.
         Khi đã lây lan vào hệ thống, Trojan sẽ ghi thêm giá trị vào
         Registry ở khoá sau:
            [HKEY_CƯRRENT_USER\SoftWare\Microsoft\
           Windows\CuưentVersion\Run]
            "mmva" = "%system%\mmvo.exe"
            Và sửa lại các giá trị sau trong Registry
            [HKEYjcURRENTluSER^ftw^e\Microsoft\Windows\
            CurrentVersion\Explorer\Advanced]
            "Hidden" = 2
            [HKEY_CURRENT_USER\Software\Microsoft\Windows\
            CuưentVersiori\Explorer\Advanced]
            "ShowSuperHidden” = 0
            [HKEY_LOCAL_MACHINBSoftware\Microsoft\Windows\
            CurrentVersioiì^xploreiNAdvancechEoldeiNHidderiVSHOXVALL]
            "CheckedValue" = 0
            [HKEY_CURRENT_USER\Software\Microsoft\Windows\
            CurrentVersion\Policies\Explorer]
            "NoDriveTypeAutoRun" = 91

         Sự láy lan:
         Trojan bản sao của chính nó vào trong thư mục gốc của cố
         định và / hoặc ổ đĩa bằng cách sử dụng các tên sau
         đây:  uevr.cmd

         Eiles được chạy cùng là Autorun.inf
         Vì thế, nó đảm bảo cho Trojan này là một phương tiện phát
         tán khi mỗi thông tin được nhập vào máy tính.

         Lấy cắp thông tin
         Các Trojan lấy cắp thông tin thu thập được thông qua quá
         trình tạo ra những files sau;


                                    74