Die zweite Gusi-Variante ist "Gusi.B". Auch dieser Trojaner wird von "1Table.A" über eine kritische, undokumentierte Microsoft-Word-Schwachstelle transportiert. Anzeichen für die Präsenz des Backdoor-Trojaners ist eine Fehlermeldung im Internet Explorer, wenn der Schädling keine offene Internetverbindung finden kann. Beginnend mit dem Port 1032 öffnet "Gusi.B" fortlaufend eine ganze Serie von Ports, um gesammelte Daten zu verschicken und Kommandos vom Malware-Programmierer zu erhalten. Dann verbindet er sich via Internet Explorer mit der IP Adresse 222.9.X.X. Der Schädling tarnt sich durch Rootkit-Techniken.