По данным экспертов, при запуске вирус сначала проверяет операционную систему на наличие своей копии. Если в системе обнаруживается образец BackDoor.Butirat.91, повторная инсталляция компонентов вредоносного кода не происходит.
В противном случае, программа создает свою копию в одной из системных папок и обеспечивает себе в дальнейшем автоматический запуск при каждой загрузке Windows.
После успешной установки на компьютере жертвы, троян подключается к серверу хакеров и осуществляет загрузку зашифрованных файлов. В ходе исследования эксперты установили, что программа пытается передать киберпреступникам пароли от FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, а также SmartFTP. Кроме того, скачать заданный злоумышленниками файл вирус пытается трижды с интервалом в 60 секунд.