A fertőzött file akkor indul el, ha a felhasználó rákattint a mellékletre. Ha a gépre még nem lett letöltve és lefuttava a nevezetes IFRAME biztonsági rést befoltozó update patch, akkor a féreg rákattintás nélkül is automatikusan megkapja a vezérlést. Először telepíti a komponenseit a rendszerre és beleír a regisztrációs adatbázisba.
A telepített trójai program neve, a telepítés helye és a regisztrációs kulcs változó. Ezek kódolt formában a trójai fájl végén találhatóak. A hacker tudja konfigurálni ezeket, mielőtt elküldi az áldozat gépére vagy mielőtt felteszi a weblapra.
A féreg egy további komponenst is létrehoz, egy billentyűzetleütés figyelőt a rendszeren, amely minden a billentyűzeten keresztül beütött szöveget rögzít. A keletkező .DLL állomány szintén különböző neveket vehet fel.
További lehetséges tulajdonságok:
- a féreg törli az eredeti fertőzött állományt, miután komponenseit sikeresen telepítette
- a létrehozott billentyűzetfigyelő program hossza is változó lehet
Terjedés
A fertőzött üzenet elküldéséhez a féreg közvetlenül az SMPT szervert használja. Az áldozatok email címei az alábbi két módon keletkeznek:
1. A féreg .HT és .ASP kiterjesztésű állományokban keres lehetséges címeket
2. A féreg a MAPI (Mail Application Programming Interface) funkcióinak segítségével minden levelet elolvas a Bejövő levelek dossziéban és ezekben keres használható címeket.
Ezek után a féreg fertőzött üzeneteket küld. A levél HTML formátumú és a nem védett gépeken igyekszik kihasználni az IFRAME biztonsági rést.
Az üzenet lehetséges tulajdonságai:
A Feladó/From: mezőben vagy az igazi feladó neve szerepel vagy pedig az alábbi hamis címekből lesz kiválasztva:
" Anna" "JUDY" "Rita Tulliani" "Tina" "Kelly Andersen" " Andy" "Linda" "Mon S" "Joanna" "JESSICA BENAVIDES" " Administrator" " Admin" "Support" "Monika Prado" "Mary L. Adams" " Anna" "JUDY" "Tina" A levél Tárgy/Subject: megjelölése vagy üresen van hagyva, vagy a "Re:" (válasz) jellel kezdődően egy az Inbox dossziéban valóban létező levélből kerül felhasználásra a hitelesebb megtévesztés érdekében. A bejövő üzenet szövege (amennyiben a MAPI felhasználásával történt az email címek keresése):
Az üzenet törzse üres. A mellékletben szereplő állomány neve az alábbi listából véletlenszerűen kerül kiválasztásra, és több, egymásutáni filekiterjesztést is tartalmaz.
Pics (vagy PICS )
Card (vagy CARD)
images (vagy IMAGES)
Me_nude (vagy ME_NUDE)
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc (vagy NEWS_DOC)
docs (vagy DOCS)
HAMSTER
Humor (vagy HUMOR)
YOU_are_FAT! (vagy YOU_ARE_FAT!)
fun (vagy FUN)
stuff
SEARCHURL
SETUP
S3MSONG
Első kiterjesztés: .DOC .ZIP .MP3
Második kiterjesztés: .scr, .pif
Például: "info.DOC.scr"
A féreg nem küldi el a fertőzött üzenetet kétszer ugyanarra a címre. (ez volt a módszer a Magistr esetében is). Ennek érdekében eltárolja az érintett email üzeneteket a Windows System könyvtárban egy PROTOCOL.DLL nevű állományban és új levél küldése előtt ellenőrzi, hogy nem szerepel-e már benne.
A féregnek ezt a variánsát 2001. nevember 24-én fedezték fel először. Magát beinstallálja a Windows System könyvtárba KERNEL32.EXE néven és az alábbi bejegyzést írja a regisztrációs adatbázisba:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Kernel32 = kernel32.exe
Létrehozza a leütéseket kémlelő KDLL.DLL nevű programot. A billentyűleütéseket egy CP_25389.NLS nevű állományba gyűjti és azt a "uckyjw@hotmail.com" email címre próbálja meg továbbítani.
Az F-Secure és Kaspersky Anti-Virus programok a 2001. november 25-i frissítéssel már felismerik és irtják. Az F-Secure cég lapján szerepel egy regisztrációs bejegyzést törlő állomány is, ez az alábbi linken érhető el:
ftp://ftp.europe.f-secure.com/anti-virus/tools/bt_b_dis.reg