A fertőzött üzenet az alábbiak szerint néz ki:
Tárgy: (Subject)
Re: AVAR(Association of Anti-Virus Asia Reseachers)
Levélszöveg: (Body)
AVAR(Association of Anti-Virus Asia Reseachers) - Report. Invariably, Anti-Virus Program is very foolish.
Csatolt állomány: (Attachment)
MUSIC_1.HTM
MUSIC_2.CEO
A féreg a lefuttatásához egy biztonsági rést (IFRAME Exploit) próbál meg kihasználni. A féreg telepíti magát a rendszerbe, majd lefuttatja a terjesztő és büntető rutinját.
Fertőzés:
A féreg véletlenszerű neveken bemásolja magát a Windows System alkönyvtárba:
WIN%rnd%.EXE or WIN%rnd%.PIF
Ahol a %rnd% érték egy véletlenszám, és létrehoz egy olyan registry kulcsot, amely ezt minden rendszerindításkor lefuttatja:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
A féreg ezen kívül létrehoz (dropper) egy Funlove.4099 vírusvariánst is, amelyet WINxxxx.PIF néven bemásol, szintén a Windows System alkönyvtárba.
A Funlove eredeti szövege helyett az alábbit karaktersorozatot tartalmazza:
~AAVAR 2002 in Seoul~
Míg az eredeti Funlove vírus neve FLCSS.EXE volt, itt AAVAR.PIF néven keletkezik.
Megjeleníti az alábbi üzenetet:
Make a fool of oneself
What a foolish thing you have done!
A féreg létrehoz magából (dropper) egy Funlove.4099 vírusvariánst is, WINxxxx.PIF néven
Terjedés:
A féreg a *.HTM állományokban és a .DBX (Outlook Express) levelezőmappa-állományokban kutat címek után és ezekre küldi tovább magát. A címek közül azonban nem használja azokat, amelyek a "microsoft@" karaktersorozattal kezdődnek.
A terjedéshez közvetlenül az alapbeállításban szereplő SMTP mail servert használja, ezt a Windows regisztrációs adatbázisból olvassa ki.
A féreg szintén tartalmaz egy hálózati terjedési rutint is, amelyik bemásolja magát EXPLORER.PIF néven a hálózati megosztásokba, de az első vizsgálat alapján úgy tűnik, ezt a rutint nem fejezte be a vírusíró.
Büntető rutin:
A féreg a futó processzek között antivírus-, tűzfal- és debugger programok folyamatait is megpróbálja megkeresni és leállítani, valamint a hozzájuk tartozó állományokat letörölni. Néhány esetben (vagy talán minden alkalommal?) ha antivírusprogramot talál, a féreg minden állományt töröl az összes meghajtóról. Azt pontosan nem tudni, hogy ezt szándékosan teszi, vagy ez egy programhiba a víruskódban.
A féreg megváltoztatja a regisztrációs adatbázisban (Registry) az alábbi kulcsokat:
SOFTWARE\Microsoft\Windows NT\CurrentVersion
SOFTWARE\Microsoft\Windows\CurrentVersion
Ezek eredeti értéke helyett a következő szövegeket írja be:
RegisteredOrganization = Trand Microsoft Inc.
RegisteredOwner = AntiVirus
Ezenfelül a féreg végtelen ciklusban hívogatja a http://www.symantec.com weboldalt, úgy tűnik, DoS támadást próbál intézni a szerver ellen.
A féreg az alábbi, titkosított szövegeket tartalmazza:
~~ Drone Of StarCraft~~
http://www.sex.com/
Az F-Secure és Kaspersky Anti-Virus programok a 2002. november 25-i adatállományokkal már képesek detektálni.