Der Trojaner deaktiviert die Benutzerkontenkontrolle (User Account Control, UAC) in Windows und verändert dann die Registry,
berichtet der Kaspersky-Dienst Threatpost. Er installiert dem infizierten Rechner neue Zertifikats-Autoritäten. Der Nutzer wird dann auf eine gefälschte Online-Banking-Seite geleitet. Weil er das ebenfalls gefälschte Zertifikat vorweist, erscheint die manipulierte Webseite mit dem https-Icon für eine gesicherte Verbindung. Der Surfer soll denken, er befinde sich auf der legitimen Online-Banking-Seite seines Geldinstituts und könne dort seine Benutzerdaten eingeben.
Damit das Opfer auf die gefälschte Bank-Webseite surft, modifiziert das Rootkit die Liste der registrierten Treiber, die im Boot-Prozess laden dürfen. Die neuen Treiber, plusdriver.sys und plusdriver64.sys, starten beim nächsten Boot-Vorgang des infizierten PCs und modifizieren die Host-Datei so, dass der Nutzer auf die gefälschte Bank-Webseite umgeleitet wird.
Bislang hat sich der Schädling hauptsächlich in Brasilien verbreitet. Die Geschädigten hatten ihn per Drive-by-Download über ein bösartiges Java-Applet auf ihren Rechner geholt. Er infiziert sowohl 64- als auch 32-Bit-Systeme.