Przy użyciu mechanizmu wbudowanego w system Windows bootkit przechwytuje wszystkie uruchamiane procesy i szuka w nich następujących tekstów charakterystycznych dla programów antywirusowych:
- Beike
- Beijing Rising Information Technology
- AVG Technologies
- Trend Micro
- BITDEFENDER LLC
- Symantec Corporation
- Kaspersky Lab
- ESET, spol
- Beijing Jiangmin
- Kingsoft Software
- 360.cn
- Keniu Network Technology (Beijing) Co
- Qizhi Software (beijing) Co
Po wykryciu jednego z tych tekstów szkodnik modyfikuje uruchamiany proces, w wyniku czego niektóre aplikacje antywirusowe mogą funkcjonować niepoprawnie.
Po zakończeniu instalacji bootkit wysyła do cyberprzestępcy przez Internet szereg danych dotyczących zainfekowanego komputera, w tym numer wersji systemu operacyjnego, adres IP oraz adres MAC. Dodatkową funkcją szkodnika jest instalowanie w systemie narzędzia, które pobiera kolejne niebezpieczne programy (Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas). Trojany te kradną, między innymi, dane dotyczące kont wykorzystywanych w grach online.
