Luego el troyano revisa el MBR (Master Boot Record) del disco duro y luego revisa la tabla de particiones para ubicar la partición activa. Seguidamente el troyano infecta el MBR copiando el MBR original al sector 62 del disco duro. El troyano instalá su propio núcleo y loader en los sectores 60 y 61 del disco duro.

Además, el troyano copia un componente rootkit (técnica de ocultamiento) cerca del final de la partición activa sobreescribiendo alrededor de 1149 sectores (467 Kb).

Luego el troyano crea un archivo .DLL usando el nombre de la carpeta en la que se encuentra, y ejecuta el siguiente comando:

regsvr32 /s [CARPETA].dll

También podría usar como nombre: "mat[NUMERO].dll"

Seguidamente el troyano tratará de reiniciar la Pc infectada o mostrará el siguiente mensaje:

Some updates require you to restart your computer to complete the update process. Be sure to save any work prior to the scheduled time.

Cuando la Pc se reinicia, el área infectada (MBR) iniciará el núcleo y loader del troyano localizado en los sectores 60 y 61, el cual altera el núcleo de Windows para ejecutar el componente rootkit.

El componente rootkit del troyano se engancha a las siguientes rutinas del núcleo de Windows:

Sí el sector 0 es leído por el disco duro el troyano devolverá el MBR original almacenado en el sector 62. El troyano evitará la escritura en el sector 0 para prevenir su eliminación.

Finalmente el troyano habilita una puerta trasera (Backdoor) usado para conectarse a la siguiente dirección web, esto permite que un atacante tome el control de la Pc:

• http://dkfhchkb.com/ser[OCULTO]