A programféreg az INBOX (Bejövő üzenetek) minden üzenetére saját SMTP modulja segítségével automatikusan válaszol. A féreg csatolt állományként van az üzenetekben és az alábbi szabályszerűség alapján küldi tovább magát (ennek tudható be, hogy sokkal lassabban terjed, mint a klasszikus "mass-mailer" vírusok - ezt jelzi a vírus nevében a @M jelzés). Ha az Inbox-ban lévő üzenet a ???@wherever.com címről érkezett, akkor a válaszlevél formája:
Wherever.com account auto-reply:
' I'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!'
>Get your Free wherever.com account now! <
Programféreg komponens
A féreg képes hálózati megosztásokon keresztül is terjedni. Megkeresi a hálózaton megosztott könyvtárakat, alkönyvtárakat és az alábbi állománynevek valamelyikén odamásolja magát:
fun.exe
images.exe
news_doc.exe
s3msong.exe
pics.exe
billgt.exe
midsong.exe
PsPGame.exe
hamster.exe
setup.exe
tamagotxi.exe
joke.exe
docs.exe
searchurl.exe
card.exe
pics.exe
Trójai komponens
A féreg egy 77,824 byte hosszú trójai programot is telepít a számítógépre az alábbi állománynevek valamelyikén: ILY.DLL, 1.DLL, REG.DLL és TASK.DLL. A trójai program megnyitja a 10468-as portot és figyelmeztető email-t küld a vírus írójának. (Az email-ben a számítógép általános tulajdonságait is elküldi - egyes esetekben jelszavakat is.) A trójai program detektálásához a 4249-es adatbázisok szükségesek.
Tünetek:
Bejegyzések a regisztrációs adatbázisban (Registry)
A fent említett állományok jelenléte
Nyitott 10168 port
A fertőzés menete:
A féreg email-en és hálózati megosztásokon keresztül terjed. Válaszlevélként továbbküldi magát és/vagy bemásolja magát a megosztott hálózati könyvtárakba.
Futtatása után bemásolja magát a %System% könyvtárba:
WinGate.exe
rpcsrv.exe
syshelp.exe
winrpc.exe
WinRpcsrv.exe
A trójai komponens is a %System% könyvtárba kerül az alábbi néven:
1.dll
reg.dll
ily.dll
task.dll
(Megjegyzés: a %System% könyvtár a Windows operációs rendszerek rendszerkönyvtára, amely általában a C:\Windows\System könyvtárat jelenti Windows 9x/ME, C:\WINNT\System32 a Windows NT/2000, és a C: \Windows\System32 Windows XP esetén.)
Az alábbi kulcsok jönnek létre a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell
A trójai komponens szintén bejegyzést készít Regsitry-ben:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg
Az alábbi kulcs a szöveges állományok megnyitási módját állítja át:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "winrpc.exe %1"
A féreg Windows NT/2000 operációs rendszeren 'Window Remote Service' néven szervizként települ (WINRPCSRV.EXE). A trójai program szintén szervizként
1. dll_reg
2. 2. Windows Management Extension néven települ. A féreg módosítja a WIN.INI állományt az alábbiak szerint:
[windows]
run=rpcsrv.exe
További elnevezések:
"A" variáns: 77,312 byte
"B" variáns:84,992 byte
"C" variáns:78,848 byte