Ami új a féregben, mondta Patrick Martin, a SARC fejlesztési menedzsere, az a hamis Microsoft biztonsági közlemény álca használata a terjedéshez, amelyre ezidáig nem volt példa. "Ez egy alattomos mód a felhasználók rendszerébe jutáshoz" - mondta Martin. "Mi még soha nem láttunk olyat, hogy egy hamis biztonsági közleménybe rejtettek volna vírust vagy féregprogramot."
A féregprogram olyan komponenseket tölt le bizonyos weboldalakról, amelyek segítségével chatprogramokon keresztül irányíthatóvá válik, közölte a Symantec. A Norton AntiVirus készítője a vállalati szegmens számára alacsony veszélyességi fokúnak ítélte meg a vírust, mivel az elsősorban az otthoni felhasználókat célozza meg. "Ez a féregprogram a magánfelhasználókat célozza meg", akiket mindez bizonyára nem vígasztal.
A féregprogram irányíthatósága révén felhasználható DDoS (Distributed Denial of Service) támadások kivitelezéséhez is. A DDoS támadások során nagyszámú számítógépről óriási mennyiségű adattömeggel célba vesznek egy webszervert, amely a beérkező adatözönnel képtelen megbirkózni, és vagy összeomlik, vagy pedig annyira lelassul, hogy a külvilág, vagyis az internetezők számára elérhetetlenné válik.
A féreg a "Microsoft Security Bulletin MS01-037" témamegjelölésű e-mail formájában érkezik, és egy csatolt fájl rejti. A hamis biztonsági közlemény egy Windows gépeket fertőző veszélyes vírusról szól, amely ellen "szerencsére" itt a biztonsági folt. A biztonsági közlemény az "ezidáig soha nem látott komplexitású, rendkívül veszélyes" jelzőkkel megpróbálja megrémiszteni a felhasználókat.
A NIPC szerint a féregprogram csak azokat a gépeket fertőzi, amelyeket egy másik vírus, a SubSeven Trojan már előzőleg megfertőzött. A SubSeven Trojan lehetővé teszi a hackereknek, hogy átvegyék az irányítást a fertőzött gépek fölött. A féreg és a trójai együttműködnek a számítógép -többek között DDoS támadásokhoz való- felhasználása érdekében. A NIPC képviselője nem kívánta részletesebben kommentálni az ügynökség ezirányú közleményét.
Alan Paller, a nonprofit SANS Institute szervezet biztonsági és antivírus csoportjának kutatásai igazgatója elmondta, hogy a féreg célja nem rombolás, és nem is titkos adatok megszerzése. A behatolók célja az, hogy a kiszemelt számítógépeket egy pénzkeresési séma szerint bizonyos, a készítők számára pénzt hozó hirdetésekre irányítsa. "Ez egy új fajtája a bűnözésnek" - mondta Paller. "Szerintünk ez pénzügyi bűnözés."
A féregprogramot június közepén kezdték elemezni a különféle antivírus központok. A W32.Leave.B.Worm az ismert vírusirtók legfrissebb változataival könnyedén eltávolítható.