Agent.REK поставя и стартира други злонамерени програми на заразената система.

При стартиране Agent.REK поставя и стартира следните файлове:

%System%\WinNt32.dll
%System%\drivers\[произволно име].sys
Забележка: %System% представлява обикновено C:\Windows\System32.
Забележка: [произволно име] представлява произволно генерирано име на файла, използван от троянеца по време на заразата като Oiv23.sys и Tqy10.sys.

Поставените файлове се разпознават като Trojan-Downloader.Win32.Agent.GLH и Trojan-Dropper.Win32.Agent.REK.

Този троянец създава следните записи в регистъра като част от неговата инсталация:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32
DLLName = "WinNt32.dll"
StartShell = WLEventStartShell

HKLM\SYSTEM\CurrentControlSet\Services\[random filename]
ImagePath = "%System%\drivers\[random filename]

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\[random filename].sys (default) = Driver

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\[random filename].sys (default) = Driver

След това Trojan-Downloader.Win32.Agent.GLH tсе опитва да се свърже до следните IP адреси:

208.66.195.15
217.170.77.146
66.232.113.80