Zagrożenie wykrywane jest jako Rootkit.Win32.Fisp.a. W trakcie uruchamiania systemu operacyjnego bootkit przechwytuje jedną z jego funkcji, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Sterownik ten nie jest wymagany do poprawnej pracy systemu, użytkownik może więc nie zauważyć żadnych objawów infekcji.

>> Czytaj także: SpyEye (ponownie) atakuje polskich internautów

Przy użyciu mechanizmu wbudowanego w system Windows bootkit przechwytuje wszystkie uruchamiane procesy, szukając w ich nazwach fraz charakterystycznych dla programów antywirusowych. Jeżeli jakąś wykryje, modyfikuje uruchamiany proces, w wyniku czego niektóre narzędzia zabezpieczające mogą działać niepoprawnie (atakowane jest m.in. oprogramowanie firm AVG Technologies, ESET, Symantec, Kaspersky Lab oraz Trend Micro).

Po zakończeniu instalacji bootkit wysyła do cyberprzestępcy przez internet szereg danych dotyczących zainfekowanego komputera, w tym numer wersji systemu operacyjnego, adres IP oraz adres MAC. Dodatkową funkcją szkodnika jest instalowanie w systemie narzędzia, które pobiera kolejne niebezpieczne programy, takie jak Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas. Trojany te kradną dane dotyczące kont wykorzystywanych w grach online.

>> Czytaj także: Atak phishingowy na klientów banku BZ WBK