Cuando el gusano se ejecuta, se muestra una falsa ventana de error con el siguiente texto:

  WinZip Self-Extractor
  Error in packed Header
  [  OK  ]

Mientras ello sucede, el gusano crea la carpeta "WinSecurity" dentro de la carpeta de Windows, y crea allí los siguientes archivos:

  c:\windows\WinSecurity\services.exe
  c:\windows\WinSecurity\csrss.exe
  c:\windows\WinSecurity\smss.exe
  c:\windows\WinSecurity\mssock1.dli
  c:\windows\WinSecurity\mssock2.dli
  c:\windows\WinSecurity\mssock3.dli
  c:\windows\WinSecurity\winmem1.ory
  c:\windows\WinSecurity\winmem2.ory
  c:\windows\WinSecurity\winmem3.ory
  c:\windows\WinSecurity\socket1.ifo
  c:\windows\WinSecurity\socket2.ifo
  c:\windows\WinSecurity\socket3.ifo

También crea los siguientes archivos de cero bytes:

  c:\windows\system32\nonrunso.ber
  c:\windows\system32\langeinf.lin
  c:\windows\system32\runstop.rst
  c:\windows\system32\rubezahl.rub
  c:\windows\system32\bbvmwxxf.hml
  c:\windows\system32\filesms.fms

NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).

Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  _Windows = "c:\windows\WinSecurity\services.exe"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Windows = "c:\windows\WinSecurity\services.exe"

El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

  .abc
  .abd
  .abx
  .adb
  .ade
  .adp
  .adr
  .asp
  .bak
  .bas
  .cfg
  .cgi
  .cls
  .cms
  .csv
  .ctl
  .dbx
  .dhtm
  .doc
  .dsp
  .dsw
  .eml
  .fdb
  .frm
  .hlp
  .imb
  .imh
  .imh
  .imm
  .inbox
  .ini
  .jsp
  .ldb
  .ldif
  .log
  .mbx
  .mda
  .mdb
  .mde
  .mdw
  .mdx
  .mht
  .mmf
  .msg
  .nab
  .nch
  .nfo
  .nsf
  .nws
  .ods
  .oft
  .php
  .phtm
  .pl
  .pmr
  .pp
  .ppt
  .pst
  .rtf
  .shtml
  .slk
  .sln
  .stm
  .tbb
  .txt
  .uin
  .vap
  .vbs
  .vcf
  .wab
  .wsh
  .xhtml
  .xls
  .xml

Las direcciones seleccionados, son las que tengan los siguientes dominios:

  .at
  .com
  .ch
  .de
  .net

Evita aquellas direcciones que contengan las siguientes cadenas en su nombre:

  .dial.
  .kundenserver.
  .ppp.
  .qmail@
  .sul.t-
  @arin
  @avp
  @ca.
  @example.
  @foo.
  @from.
  @gmetref
  @iana
  @ikarus.
  @kaspers
  @messagelab
  @nai.
  @panda
  @smtp.
  @sophos
  @www
  abuse
  announce
  antivir
  anyone
  anywhere
  bellcore.
  bitdefender
  clock
  -dav
  detection
  domain.
  emsisoft
  ewido.
  freeav
  free-av
  ftp.
  gold-certs
  google
  host.
  iana-
  iana@
  icrosoft.
  ipt.aol
  law2
  linux
  mailer-daemon
  mozilla
  mustermann@
  nlpmail01.
  noreply
  nothing
  ntp-
  ntp.
  ntp@
  reciver@
  secure
  smtp-
  somebody
  someone
  spybot
  sql.
  subscribe
  support
  t-dialin
  test@
  time
  t-ipconnect
  user@
  variabel
  verizon.
  viren
  virus
  whatever@
  whoever@
  winrar
  winzip
  you@
  yourname

Utiliza cualquiera de los siguientes servidores SMTP para enviar los mensajes infectados:

  mail.ainet.at
  mail.arcor.de
  mail.bigpond.com
  mail.eplus-online.de
  mail.genion.de
  mail.imail.de
  mail.optusnet.com.au
  mail.ozemail.com.au
  mail.restena.lu
  mail.salzburg-online.at
  mail.tiscali.ch
  mail.tutopia.com
  mail.verizon.net.do
  smtp.1und1.de
  smtp.ameritech.yahoo.com
  smtp.cityweb.de
  smtp.comcast.net
  smtp.compuserve.de
  smtp.fastwebnet.it
  smtp.omantel.net.om
  smtp.planet-interkom.de
  smtp.pop.debitel.net
  smtp.tele2
  smtp.tiscali.de
  smtp.worldonline.de
  smtpauth.bluewin.ch
  smtpauth.earthlink.net

El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

  .at
  .ch
  .de
  .li

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Mensaje en inglés 1:

De: Office@fbi.gov
Asunto: You visit illegal websites
Datos adjuntos: question_list.zip

Texto del mensaje:

  Dear Sir/Madam,

  we have logged your IP-address on more than
  30 illegal Websites.

  Important:
  Please answer our questions!
  The list of questions are attached.

  Yours faithfully,
  Steven Allison

  *** Federal Bureau of Investigation -FBI-
  *** 935 Pennsylvania Avenue, NW, Room 3220
  *** Washington, DC 20535
  *** phone: (202) 324-3000

Mensaje en inglés 2:

De: Mail@cia.gov
Asunto: You visit illegal websites
Datos adjuntos: question_list.zip

Texto del mensaje:

  Dear Sir/Madam,

  we have logged your IP-address on more
  than 30 illegal Websites.

  Important:
  Please answer our questions!
  The list of questions are attached.

  Yours faithfully,
  Steven Allison

  ++++ Central Intelligence Agency -CIA-
  ++++ Office of Public Affairs
  ++++ Washington, D.C. 20505

El archivo .ZIP contiene el ejecutable del gusano.

Cuando se ejecuta en Windows XP SP2, el gusano modifica el archivo TCPIP.SYS en c:\windows\system32\drivers, para impedir la conexión a una red. El archivo TCPIP.SYS queda inutilizable.

El gusano monitorea constantemente la lista de procesos activos. Si en dicha lista aparece el archivo MRT.EXE, impide su ejecución. Este archivo corresponde a la herramienta de eliminación de software malintencionado de Microsoft.

También intenta finalizar cualquier aplicación cuyo nombre contenga partes de estas cadenas de caracteres:

  aswclnr
  avwin.
  brfix
  fxsbr
  gcas
  gcip
  giantanti
  guardgui.
  hijack
  inetupd.
  microsoftanti
  nod32.
  nod32kui
  s_t_i_n
  sober
  s-t-i-n
  stinger

Cuando ello sucede, muestra una ventana con el siguiente texto:

  AntiVirus
  No Viruses, Trojans or Spyware found!
  Status: OK
  [  OK  ]

El gusano mantiene activos varios procesos en memoria para permanecer siempre residente. Si se elimina cualquiera de ellos, los demás crean un nuevo proceso.

Este gusano está programado en Visual Basic 6.0.

Actualización 26/11/05: Variantes del gusano fueron propagadas en forma masiva como spam los días 24, 25 y 26, en mensajes con las siguientes características:

Asunto: [uno de los siguientes]

  hi, ive a new mail address
  hi,_ive_a_new_mail_address

Datos adjuntos: mailtext.zip

Texto del mensaje:

  hey its me, my old address dont work at time. i dont know
  why?!
  in the last days ive got some mails. i" think thaz your
  mails but im not sure!

  plz read and check ...
  cyaaaaaaa

Asunto: Mail delivery failed
Datos adjuntos: mail_body.zip

Texto del mensaje:

  This is an automatically generated Delivery Status
  Notification.

  SMTP_Error []
  I"m afraid I wasn"t able to deliver your message.
  This is a permanent error; I"ve given up. Sorry it didn"t
  work out.

  The full mail-text and header is attached!

Asunto: Registration Confirmation
Datos adjuntos: reg_pass-data.zip

Texto del mensaje:

  Account and Password Information are attached!

Asunto: Your Password
Datos adjuntos: reg_pass-data.zip

Texto del mensaje:

  Protected message is attached!

Asunto: Paris Hilton & Nicole Richie
Datos adjuntos: downloadm.zip

Texto del mensaje:

  The Simple Life:

  View Paris Hilton & Nicole Richie video clips , pictures &
  more ;)
  Download is free until Jan, 2006!

  Please use our Download manager.

Asunto: Registration_Confirmation
Datos adjuntos: reg_pass.zip

Texto del mensaje:

  Protected message is attached!

  ***** Go to: http://www.[dominio]
  ***** Email: postman@[dominio]

Asunto: Your Password
Datos adjuntos: reg_pass.zip

Texto del mensaje:

  Account and Password Information are attached!

  ***** Go to: http://www.[dominio]
  ***** Email: postman@[dominio]

Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

  http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", las entradas "_Windows" y "Windows", en las siguientes claves del registro:

  HKCU\Software\Microsoft\Windows
  \CurrentVersion\Run

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

NOTA: El gusano modifica el archivo TCPIP.SYS en c:\windows\system32\drivers, por lo que el mismo deberá ser recuperado de un respaldo anterior (esto solo ocurre en Windows XP con SP2).

Para realizar esto siga los siguientes pasos:

1. Pinche el botón Inicio, Ejecutar, escriba MSCONFIG y presione Enter.

2. En la lengüeta "General", pinche el botón "Expandir archivo"

3. En "Archivo para restaurar" escriba el nombre del archivo a restaurar.

  Ej.:
  NOMBRE.XXX

4. En "Restaurar desde" escriba la ruta completa a los archivos de instalación de Windows,(en el CD de Windows, generalmente la carpeta es X:\I386, donde "X" es la letra de la unidad de CD, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

5. En "Guardar archivo en" asegúrese de tener seleccionada la carpeta C:\WINDOWS\SYSTEM32, o la carpeta donde Windows guarda el archivo a recuperar. (System32 es la ubicación por defecto para los archivos del sistema en Windows XP)

6. Pinche el botón "Aceptar".

7. Vuelva a repetir los pasos 2 al 6 para extraer los archivos que sean necesarios.