C:\WINDOWS\WINUPDATE00.EXE
C:\WINDOWS\BNHOOK.DLL

Luego agrega la siguiente clave del registro para cargarse en memoria en cada nuevo reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win000Update=C:\WINDOWS\winupdate00.exe -hide

También genera las siguientes claves para guardar datos sobre su configuración:

HKLM\Software\GCI
HKLM\Software\GCI\BioNet

Una vez que el troyano está activo en memoria, la computadora infectada es vulnerable al ataque de cualquiera que ejecute la parte cliente del mismo, cada vez que esta se conecta a Internet.

La dirección IP de la máquina atacada, y otros datos como los puertos TCP/IP abiertos, son enviados al atacante vía correo electrónico (SMTP) o Internet Relay Chat (IRC).

Con esta información, y empleando la parte cliente del troyano, se podrán llevar a cabo las siguientes acciones en forma remota:

• Captura y envío de la información del Acceso telefónico a redes, o sea nombres de usuarios y passwords respectivos.

• Captura y envío de la información sobre la registración de Windows y las claves de todos los usuarios.

• Captura y envío de la información del AOL Instant Messenger, Buddylist e ICQ.

• Cambiar el protector de pantallas y la página de inicio del Internet Explorer.

• Apagar y reiniciar Windows.

• Enviar mensajes al usuario infectado.

• Ocultar el botón de Inicio, y la bandeja de sistema (Systray).

• Abrir la unidad de CD-ROM.

• Descargar archivos.

• Lanzar ejecutables (con la posibilidad de ejecutar virus u otros troyanos, e incluso comandos destructivos vía remota).

• Intercambiar los botones del mouse.

• Modificar configuraciones del mouse y del teclado.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o por ser engañado en forma premeditada.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Fuente: McAfee