Cuando el gusano se ejecuta crea una copia de si mismo dentro de la siguiente carpeta:

  C:\s.cm
  C:\Windows\System32\
  C:\Windows\System32\ .DLL
  C:\Windows\System32\ .EXE
  C:\Windows\System32\Norton Update.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Para ejecutarse en cada inicio del sistema crea la siguiente entrada en el registro de Windows:

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run
  Wxp4 = c:\windows\system32\Norton Update.exe

También crea la siguiente entrada para guardar información sobre si mismo:

  HKLM\SOFTWARE\Microsoft\Wxp4

El gusano busca direcciones de correo electrónico en el equipo infectado y las guarda dentro de archivos con un nombre aleatorio y extensión ".DLL" en la carpeta "system32".

Ejemplos:

  C:\Windows\System32\dectbnqa.dll
  C:\Windows\System32\qbzeyuim.dll
  C:\Windows\System32\mntvcoop.dll
  C:\Windows\System32\zwxvaghk.dll

Las direcciones de correo electrónico son obtenidas de archivos con las siguientes extensiones:

  adb
  asp
  dbx
  eml
  fpt
  htm
  inb
  mbx
  php
  pmr
  sht
  tbb
  txt
  wab

Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:

  admi
  cafee
  google
  help
  hotm
  info
  kasper 
  micro
  msn
  panda
  secur
  sopho
  suppor
  syman
  trend
  use
  viru
  webm
  win
  yaho
 
Utiliza su propio motor SMTP para enviarse a todas las direcciones obtenidas en el equipo infectado.
Los mensaje enviados por el gusano están en distintos idiomas.

El mensaje que utiliza para propagarse tiene las siguientes características:

 De: [remitente falso]

 Asunto: Fw: Merry Christmas!

 Texto del mensaje:

  * Happy.... [emoticones] ....Hollydays! *

  :) [remitente]

  ___________________________________________
  http:/ /innocent.com/postcard.????? Picture
  Size: 11 KB, Mail: ??????
  +OK

 Datos adjuntos: postcard.?????.zip

Donde "?????" son letras y números al azar.

Ejemplos:

 postcard.eqt8435.zip
 postcard.zw31089.zip

El archivo ".zip" contiene un archivo con el mismo nombre y alguna de las siguientes extensiones:

  .bat
  .cmd
  .com
  .pif

El gusano se copia en todas las carpetas de la unidad C: cuyo nombre contenga "share", "upload" o "music".

Después crea una copia de si mismo dentro de las carpetas encontradas con alguno de los siguientes nombres:

  ICQ 2005a new!.exe
  winamp 5.7 new!.exe

Intenta terminar varios procesos relacionados con antivirus y aplicaciones de seguridad.

Para evitar su limpieza o identificación en el equipo infectado el gusano intenta evitar que el usuario ejecute cualquier aplicación que contenga alguna de las siguientes cadenas:

  reged
  msconfig
  task

El gusano crea un mutex con el siguiente nombre:

  Wxp4

Abre una puerta trasera en el puerto 8181, esta es utilizada para subir y ejecutar archivos.

Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=ZafiD

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

4. Elimine bajo la columna "Nombre", la entrada "Wxp4", en la siguiente clave del registro:

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run

5. Elimine la carpeta "Wxp4" en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft\Wxp4

6. Cierre el editor del Registro del sistema

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.