Троянская программа. Является приложением Windows (PE EXE-файл).
Инсталляция
При инсталляции троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\ntos.exe
С целью автоматического запуска при последующем старте системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "userinit" = "%System%\ntos.exe"
Деструктивная активность
Троянская программа следит за действиями пользователя в браузере Internet Explorer.
В случае если пользователь работает с адресом https://onlineeast.bankofamerica.com, троянец периодически делает скриншоты рабочего стола и загружает их на FTP-сервер злоумышленника.