Если честно, червь писали неграмотные (если местные - без обид, ок?)
Мне числа 28 декабря эта гадость влетела через рпц и присосалась к svchost.
svchost стал открывать кучу коннектов, из них большинство висело в состоянии SYN_SENT. Кроме того стал хорошо хавать траффик - это только ламер не заметит.
подключаться стал к https://... какой-то айпишник в Бразилии.

И еще один достаточно тупой признак ламерства аффтара. Аффтары до сих пор не поняли, что ели dll кидаешь в папку system32 то ее ни в коем случае нельзя делать скрытой. Заметьте, в винде нет ни одной скрытой либы =) я так все современные трои палю =)

Называлось это Г vnsglonl.dll
откомпилена на Microsoft Visual C++ 6.0