Исполняемый файл зловреда имеет размер 7680 байт, сжат UPX. В случае запуска зловред скрытно выполняет следующие операции:
1. Создает копии совоего исполняемого файла под именем WINDOWS\system32\WinAvXX.exe, WINDOWS\system32\printer.exe,
2. Регистрируется в автозапуске стандартным образом (ключ RUN) и нестандартным образом (ключ Winlogon\Shell)
3. Создает свои копии в папке «Автозагрузка» всех пользователей и текущего пользователя, копии файлов называются system.exe и autorun.exe, путь к папке определяется через реестр
4. Модифицирует настройки Internet Explorer, в частности задает в качестве стартовой страницы http://www.google.com
5. Перезаписывает ассоциации файлов HTML на Internet Explorer
6. Блокирует через политики ряд функций операционной системы, в частности – диспетчер задач и редактор реестра
7. Перенастраивает встроенный Firewall, регистрируя приложение winav.exe как доверенное
8. Модифицирует файл hosts, добавляя в него порядка сотни записей, блокирующих доступ к сайтам подавляющего большинства производителей антивирусов и антишпионов (в частности, avp.ru, symantec.com, mcafee.com, microsoft.com …). Блокирует автоматическое обновление благодаря записи windowsupdate.microsoft.com и доступ к сайтам типа www.virustotal.com и www.viruslist.com
9. Выводит на экран сообщение о том, что компьютер якобы заражен шпионскими программами и предлагает загрузить антишпион (данное сообщение выводится периодически).


http://www.z-oleg.com/secur/virlist/Hoax_Fera_i.jpg
В случае согласия открывает в IE страничку сайта, на которой имитируется сканирование системы и обнаружения сотен вирусов с выдачей вердикта о том, что используемый антивирус не эффективен. В качестве лечения проблемы предлагается скачать антишпион. В случае согласия загружается небольшой инсталлятор, детектируемый как Downloader.Win32.WinFixer.*