محيطهاي قابل اجرا :

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

وقتي که Backdoor.Nibu.h اجرا ميشود، تغييرات زير در سيستم ايجاد ميشود :

Backdoor-Nibu.h.dll را ایجاد و اجرا مینماید.

خودش را بصورت هاي زير کپي ميکند :

. %System%\Swchost.exe
· %System%\Svohost.exe
· %Startup%\Svchost.exe

· %Windir%\Rundlln.sys
· %Windir%\Prntsvr.dll
· %Windir%\Temp\feff35a0.htm
· %Windir%\Temp\fe43e701.htm
· %Windir%\Temp\fa4537ef.tmp

"load32"="%System%\swchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run

بنابراين وقتي که ويندوز راه اندازي ميگردد تروجان اجرا ميشود.
يک فايل Dll ايجاد و فراخواني ميکند تا کليدهايي را که کاربر انتخاب ميکند را در اختيار خود بگيرد و غالبا از فايل %Windir%\Prntsvr.dll استفاده مينمايد.

همچنين ممکن است کليدهاي رجيستري زير را اضافه نمايد :

· HKEY_LOCAL_MACHINE\SOFTWARE\SARS
· HKEY_USERS\.DEFAULT\SOFTWARE\SARS

محتواي shell در کليد رجيستري زير را از "explorer.exe" به "explorer.exe %System%\svohost.exe" تغيير ميدهد.

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

محتواي فايل %Windir%\System.ini را با تغيير مقدار "Shell"="Explorer.exe" به "Shell"="explorer.exe %System%\svohost.exe" تغيير ميدهد.
پنجره هايي را که رشته زير در title bar خود دارند،جستجو نموده ، http:/ /www.whatpornsite.com/css/logger.php و کليدهاي انتخاب شده را درون آن تايپ کرده و داخل يک فايل log بصورت %Windir%\Prntk.log. نيز ذخيره ميکند.
دسترسي به بسياري از سايتهاي آنتي ويروس را با اضافه کرد ن خطوط زير به فايل %System%\Drivers\etc\hosts: غير فعال مينمايد.