Prim Hírek

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScrSvr = %worm name%

Az Opasoft ezek után törli az eredeti filet (ahonnan el lett indítva).

A féreg a helyi hálózat IP címeit ellenőrzi, valamint véletlenszerűen választott IP címtartományokat. Ellenőrzéskor adatokat küld a 137-es portra (NETBIOS Name Service). Amennyiben arra válasz érkezik a vizsgált IP címről, a féreg ellenőrizi a kapott adatokat. Ha egy megadott adatot talál a pufferben, a féreg lefuttatja a fertőzési rutinját. A fertőzési rutin meghatározott SMB csomagokat küld erre az IP címre a 139-es portra (NETBIOS Session Service). Ennek eredményeképpen az áldozat gépen két új állomány keletkezik a Windows alkönyvtárában:

\WINDOWS\scrsvr.exe - a féreg másolata

\WINDOWS\win.ini - MS Windows WIN.INI állomány

A WIN.INI állomány olyan utasításokat tartalmaz, amitől a féreg EXE fájlja a gép következő újraindításakor végrehajtódik ("run=" parancs a [windows] részben). A fertőzés eredményességét a C:\TMP.INI állomány létrejötte jelzi a "mester" gépnek.

A trójai rutin elmegy a www.opasoft.com weboldalra és végrehajtja az alábbiakat:

- letölti és lefuttatja a féreg legfrissebb változatát (ha létezik)

- letölti és lefuttatja a weblapon található scripteket

Az újabb féreg változat a "scrupd.exe" néven kerül letöltésre. A fájl ezután lefut, ami végrehajtása során lecseréli a régi férget. A hátsóajtó rész a "ScrSin.dat" és "ScrSout.dat" fájlokat használja futása során, melyeket erős titkosítással kódol el. Mivel a www.opasoft.com webserver már ki van kapcsolva, nem lehetséges több információt szerezni a hátsóajtó-rutin részleteiről.

A féreg arról is gondoskodik, hogy egy gépet ne fertőzzön meg többször. Ehhez készít egy "Windows mutex"-et "ScrSvr31415" néven. A Windows 9x operációs rendszerű gépeket a féreg képes fertőzi , míg a Windows NT-t futtató gépek fertőzése nagyon nem valószínű és majdnem lehetetlen.

Az F-Secure és Kaspersky Anti-Virus programok a 2002. október 2-i adatállományokkal már képesek detektálni.