При старте троянец модифицирует файл %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса.
В файл hosts добавляются следующие строки и тем самым блокируются обращения к данным сайтам:
127.0.0.1 e-finder.cc 127.0.0.1 fast-look.com 127.0.0.1 bin.wordsx.cc 127.0.0.1 s13.tempx.cc 127.0.0.1 vv7.al.57e.net 127.0.0.1 ewizard.cc 127.0.0.1 awmdabest.com 127.0.0.1 20x2p.com 127.0.0.1 rf104.com 127.0.0.1 75tz.com 127.0.0.1 v-224.com 127.0.0.1 rf104.com 127.0.0.1 ga31.com 127.0.0.1 crl.thawte.com 127.0.0.1 t34rulit.com 127.0.0.1 win-eto.com 127.0.0.1 super-spider.com 127.0.0.1 letgohome.com 127.0.0.1 cc20foreva.com 127.0.0.1 solongas.com 127.0.0.1 tracking.allposters.com 127.0.0.1 vparivalka.com 127.0.0.1 greg-tut.com 127.0.0.1 toprefsys.com 127.0.0.1 free-spy-cam.net 127.0.0.1 terra.hcworld.com 127.0.0.1 visitfriend.net 127.0.0.1 tracktraff.cc 127.0.0.1 love-catalog.net 127.0.0.1 trackhits.cc 127.0.0.1 u47.cc 127.0.0.1 u48.cc 127.0.0.1 u45.cx 127.0.0.1 u46.cx 127.0.0.1 www.6o9.com 127.0.0.1 new.8ad.com 127.0.0.1 veryeasysearch.com 127.0.0.1 msnprotection.com 127.0.0.1 adulthell.com 127.0.0.1 datingforlove.org 127.0.0.1 meetyourfriend.biz
