اين ويروس مانند همه ويروسهاي ديگر خود را روي هارد کپي مي کند، کليدهاي رجيستري را تغيير مي دهد و مانند بسياري از ويروسها به زبان دلفي نوشته شده است. توزيع فعلي جغرافيايي اين ويروس به نقل از سيمانتک عبارتست از:
نکته منحصربفرد در مورد اين ويروس تغيير بانک اطلاعاتي در SQL است. اين ويروس در صورت وجود بانکهاي اطلاعاتي با اسامي alim, maliran و shahd که به نظر مي رسد مربوط به برنامه هاي حسابداري/مالي باشد اين جداول را دستکاري کرده و بعضي از فيلدها را با مقادير تصادفي تغيير مي دهد:
- Hesabjari .
- Holiday
- Holiday_1
- Holiday_2
- Asnad
- A_sellers
- A_TranSanj
- R_DetailFactoreForosh
- person
- pasandaz
- BankCheck
- End_Hesab
- Kalabuy
- Kalasales
- REFcheck
- buyername
- Vamghest
اين ويروس هيچ مکانيزمي براي سرقت اطلاعات نداشته و صرفا براي خرابکاري و از بين بردن اطلاعات مالي/حسابداري طراحي گرديده است.
با توجه به تغييراتي که ويروس در بانک اطلاعاتي بوجود مي آورد درست کردن آنها غيرممکن بوده و مي بايست نسخه پشتيبان اطلاعات بازيابي گردد.
