Він атакує користувачів систем під управлінням Windows. Троян відрізняється від родичів досить багатою функціональністю.
Коли програма запускаеться на комп'ютері, вона розпаковує власне тіло і шукає в пам'яті свого процесу фрагменти коду для виконання.
Копію виконуваного файлу троян зберігає в тимчасовій папці на накопичувачі інфікованого комп'ютера, а потім записує шлях до цього файлу в ключ системного реєстру, що відповідає за автоматичний запуск додатків. В результаті зловредів отримує можливість запускатися разом з операційною системою.
Для крадіжки конфіденційної інформації троян вбудовується в процес «Провідника Windows», а також в процеси браузерів Microsoft Internet Explorer, Mozilla Firefox і Google Chrome. Програма здатна перехоплювати функції, що відповідають за роботу з комп'ютерною мережею.
Серед основних можливостей зловреда можна виділити завантаження і запуск різних файлів, видалення файлів cookies, перезавантаження і виключення комп'ютера, а також можливість перехоплювати інформацію, яку користувач вводить на сторінках веб-сайтів.