Íme a Maldal által küldött levél:
Feladó / Name: a fertőzött felhasználó neve
Címzett / To: egy véletlenszerűen kiválasztott tétel a címjegyzékből
Tárgy / Subject: Happy New Year
Hii , I can't describe my feelings But all I can say is Happy new year :-) bye
Csatolt állomány / Attachment: christmas.exe
Ha a mellékletet megnyitják, akkor először egy karácsonyi üdvözlő ablak tűnik elő, ezzel palástolva a rosszindulatú ténykedést.
A féreg bemásolja magát a Windows könyvtárba 'Christmas.exe' néven. Ez a másolata a féregnek a Registry bejegyzések közé is bekerül, így ez a kód minden Windows induláskor le fog futni:
'[HKLM]\Software\Microsoft\Window\CurrentVersion\Run\Zacker'
Büntető rutin:
A féreg kikapcsolja a billentyűzetet és megkísérel minden állományt törölni a Windows System könyvtárban. A számítógép nevét 'ZaCker'-re állítja és az Internet Explorer kezdőlapját átállítja egy fertőzött weblap címére. Ha a fertőzött lapot megjelenítik Internet Explorerben, a lapban szereplő JavaScript kód lefut, kihasználva egy ismert Microsoft biztonsági hibát (VM ActiveX control vulnerability, MS00-075). Ez a JS kód létrehoz egy "rol.vbs" állományt a Windows meghajtó gyökérkönyvtárában és lefuttatja azt. Ennél a pontnál a féreg megkísérli kitörölni az adott meghajtón az alábbi könyvtárakat:
Program Files\Zone Labs
Program Files\AntiViral Toolkit Pro
Program Files\Command Software\F-PROT95
eSafe\Protect
PC-Cillin 95
PC-Cillin 97
Program Files\Quick Heal
Program Files\FWIN32
Program Files\FindVirus
Toolkit\FindVirus
f-macro
Program Files\McAfeeVirusScan95
Program Files\Norton AntiVirus
TBAVW95
VS95
rescue
A féreg elhelyezi a "DaLaL.htm" állományt a Windows System könyvtárba, ez tartalmazza a linket a féreg második részéhez. Ez az állomány a féreg "server.vbs" másolatával együtt bemásolódik minden egyes megosztott hálózati meghajtó gyökér könyvtárába. Ezután a féreg végigmegy minden helyi és hálózati meghajtón és hozzáfűzi a "DaLaL.htm" tartalmát minden egyes ".htm", ".html" és ".asp" kiterjesztésű állományhoz.
A féreg ezenkívül törli az alábbi kiterjesztésű állományokat: ".lnk", ".zip", ".jpg", ".jpeg", ".mpg", ".mpeg", ".doc", ".xls", ".mdb", ".txt", ".ppt", ".pps", ".ram", ".rm", ".mp3" and ".swf".
Ezek törlése után a vírust lemásolva magát a törölt állományok nevén, de az eredeti névhez egy ".vbs" kiterjesztést fűz hozzá. A Maldal megkeresi, hogy van-e telepítve a mIRC chat és ha megtalálja, annak beállításait ( a "mirc.ini" file) is felülírja.
Ezek után a fertőzött felhasználó egy üzenetet fog megjeleníteni annak a felhasználónak a gépén, aki belép ugyanarra az IRC csatornára. Ez az üzenet egy olyan linket jelenít meg, amelyik a fertőzött weboldalra mutat.
Végül, ha a kezdeti fertőzés és script végrehajtása között már eltelik 30 perc, és a másodpercek száma egyenlő öttel, megkísérli a létező összes állományt törölni, megjelenít egy üzenet ablakot majd lezárja a Windowst.
A második része a féregnek hasonlóképpen viselkedik, kivéve hogy még egy állományt elhelyez a Windows System alkönyvtárban, "outlook.vbs" néven és lefuttatja azt. Ez a script fogja aztán a címjegyzékben szereplő címekre a fertőzött üzeneteket elküldeni. Ezekben az üzenetekben szerepel a link, amelyik a fertőzött weboldalra mutat és tartalmazza még az alábbi szöveget is:
Subject Very important !!!
Body: See this page
http://geocities.com/Xxxxxxx/xxx.htm
Az F-Secure és Kaspersky Anti-Virus programok a 2001. december 20-i adatállományokkal már felismerik.