Для похищения сохраненных паролей браузера Internet Explorer анализирует следующий ключ системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\IntelliForms\
torage2]
Для похищения данных об учетных записях программы Outlook Express анализирует данные в защищенном хранилище (Protected Storage). Похищенные данные вирус сохраняет в одном из следующих файлов в зашифрованном виде:
%UserProfile%\Local Settings\Application Data\hahhajgb18.nls
%UserProfile%\Local Settings\Application Data\kf18lz32.dll
%UserProfile%\Local Settings\Application Data\wsr18zt32.dll
%UserProfile%\Local Settings\Application Data\dfl18z32.dll
Если на компьютере пользователя установлена программа Mozilla Firefox, то вирус создает расширение для этой программы, с помощью которого отправляет похищенные данные на следующие адреса:
gan***roup.net
kevl***guard.ru
xra***gometer.org
karavja***akistan.net
vahha***yte.ru
ijmas***unschk.ru
lybi***izovernet.biz
fukushim***tom.ru
pash***ers600.ru
fair***ilpigz.biz