Para ejecutarse vez que se accede a un archivo .EXE modifica la siguiente entrada en el registro:

  HKCR\exefile\shell\open\command
  (Predeterminado) =
  [camino y nombre del gusano] "%1" %*

Cuando se ejecuta, se copia con alguno de estos nombres "msupdate.exe" en alguna de las siguientes carpetas de redes compartidas:

  \Documents and Settings\All Users\Kynnist-valikko
  \Ohjelmat\Kynnistys\
 
  \Documents and Settings\All Users\Men Inicio
  \Programas\Inicio\
 
  \Documents and Settings\All Users\Menu Avvio
  \Programmi\Esecuzione automatica\
 
  \Documents and Settings\All Users\Menu Iniciar
  \Programas\Iniciar\
 
  \Documents and Settings\All Users\Menu Start
  \Programma"s\Opstarten\
 
  \Documents and Settings\All Users\Menu Start
  \Programy\Autostart\

  \Documents and Settings\All Users\Menuen Start
  \Programmer\Start\

  \Documents and Settings\All Users\Start Menu
  \Programlar\BASLANGI

  \Documents and Settings\All Users\Start Menu
  \Programs\StartUp\

  \Documents and Settings\All Users\Start-meny
  \Programmer\Oppstart\

  \Documents and Settings\All Users\Start-menyn
  \Program\Autostart\

  \Dokumente und Einstellungen\All Users\Startmen

  \Programme\Autostart\

  \WIN95\Kynnist-valikko\Ohjelmat\Kynnistys
  \Documents and Settings\All Users\Menu Dmarrer
  \Programmes\Dmarrage\

  \WIN95\Menú Inicio\Programas\Inicio\

  \WIN95\Menu Avvio\Programmi
  \Esecuzione automatica\

  \WIN95\Menu Dmarrer\Programmes\Dmarrage\

  \WIN95\Menu Iniciar\Programas\Iniciar\

  \WIN95\Menu Start\Programma"s\Opstarten\

  \WIN95\Menu Start\Programy\Autostart\

  \WIN95\Menuen Start\Programmer\Start\

  \WIN95\MenuIniciar\Programas\Iniciar\

  \WIN95\Start Menu\Programlar\BASLANGI

  \WIN95\Start Menu\Programs\StartUp\

  \WIN95\Startmen

  \WIN95\Start-meny\Programmer\Oppstart\

  \WIN95\Start-menyn\Program\Autostart\

  \WIN98\Kynnist-valikko\Ohjelmat\Kynnistys\

  \WIN98\Menú Inicio\Programas\Inicio\

  \WIN98\Menu Avvio\Programmi
  \Esecuzione automatica\

  \WIN98\Menu Dmarrer\Programmes\Dmarrage\

  \WIN98\Menu Iniciar\Programas\Iniciar\

  \WIN98\Menu Start\Programma"s\Opstarten\

  \WIN98\Menu Start\Programy\Autostart\

  \WIN98\Menuen Start\Programmer\Start\

  \WIN98\MenuIniciar\Programas\Iniciar\

  \WIN98\Start Menu\Programlar\BASLANGI

  \WIN98\Start Menu\Programs\StartUp\

  \WIN98\Startmen

  \WIN98\Start-meny\Programmer\Oppstart\

  \WIN98\Start-menyn\Program\Autostart\

  \WINDOWS.000\Menú Inicio\Programas\Inicio\

  \WINDOWS.000\Menu Iniciar\Programas\Iniciar\

  \WINDOWS.000\Start Menu\Programs\StartUp\

  \WINDOWS.000\Startmen

  \WINDOWS\Kynnist-valikko\Ohjelmat\Kynnistys\

  \WINDOWS\Menú Inicio\Programas\Inicio\

  \WINDOWS\Menu Avvio\Programmi
  \Esecuzione automatica\

  \WINDOWS\Menu Dmarrer\Programmes\Dmarrage\

  \WINDOWS\Menu Iniciar\Programas\Iniciar\

  \WINDOWS\Menu Start\Programma"s\Opstarten\

  \WINDOWS\Menu Start\Programy\Autostart\

  \WINDOWS\Menuen Start\Programmer\Start\

  \WINDOWS\MenuIniciar\Programas\Iniciar\

  \WINDOWS\Start Menu\Programlar\BASLANGI

  \WINDOWS\Start Menu\Programs\StartUp\

  \WINDOWS\Startmen

  \WINDOWS\Start-meny\Programmer\Oppstart\

  \WINDOWS\Start-menyn\Program\Autostart\

  \WINME\Kynnist-valikko\Ohjelmat\Kynnistys\

  \WINME\Menú Inicio\Programas\Inicio\

  \WINME\Menu Avvio\Programmi
  \Esecuzione automatica\

  \WINME\Menu Dmarrer\Programmes\Dmarrage\

  \WINME\Menu Iniciar\Programas\Iniciar\

  \WINME\Menu Start\Programma"s\Opstarten\

  \WINME\Menu Start\Programy\Autostart\

  \WINME\Menuen Start\Programmer\Start\

  \WINME\MenuIniciar\Programas\Iniciar\

  \WINME\Start Menu\Programlar\BASLANGI

  \WINME\Start Menu\Programs\StartUp\

  \WINME\Startmen

  \WINME\Start-meny\Programmer\Oppstart\

  \WINME\Start-menyn\Program\Autostart\

El gusano intenta conectarse a los siguientes servidores IRC:

  naipe.damaged.com.ar
  naipe.no-ip.org

Cualquier usuario que tenga acceso al canal creado, puede ingresar a los equipos infectados, pudiendo realizar cualquiera de las siguientes acciones:

  Descargar y enviar archivos.
  Enumerar cuentas de acceso telefónico.
  Examinar direcciones IP.
  Finalizar la ejecución del propio troyano.
  Listar las conexiones TCP actuales.
  Listar los procesos en ejecución.
  Obtener información del sistema infectado.
  Ocultar o mostrar ventanas de programas.
  Realizar ataques de denegación de servicio.
  Realizar ataques flood con paquetes UDP.
  Robar contraseñas.

El gusano permanece residente en memoria como un servicio en espera de comandos remotos.

1. Desconecte cada computadora de cualquier red antes de realizar la limpieza.

2. Desactive la restauración automática en Windows XP/ME.

3. Reinicie en Modo a prueba de fallos.

4. Ejecute un antivirus actualizado y elimine los archivos infectados.

5. Desde Inicio, Ejecutar, teclee lo siguiente y pulse Enter:

  Command /c Rename C:\Windows\Regedit.exe Regedit.com

En Windows 2000 y XP, cambie COMMAND por CMD.

5. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

6. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

7. Busque la siguiente clave del registro:

   HKCR\exefile\shell\open\command

8. Modifique el valor "Predeterminado" por lo siguiente (debe quedar de esta manera):

  (Predeterminado) = "%1" %*

9. Busque la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run

10. Borre el siguiente valor:

  "" = [camino y nombre del gusano]

11. Cierre el editor del registro.

12. Busque y borre los siguientes archivos si aun existen:

  msupdate.exe

13. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.