Hab mir grad die neueste Version in einer VM mit Procmon angeschaut, interessant... nun connected sie nach China in einer Uni in Beijing:
http://www.robtex.com/ip/219.218.160.80.html#ip
Er nutzt nun auch laut Procmon sehr intensiv die Windows CryptoAPI...

Wer die Version haben will, kann mich gerne anschreiben. Avira hat sie bekommen, das Trojaner Board auch schon.

Edit: Er scheint nun auch die Netzwerkumgebung zu scannen. Also wird er jetzt noch gefährlicher...