Para no ejecutarse más de una vez en memoria, el gusano crea el siguiente mutex:

  H-E-L-L-B-O-T

Crea el siguiente archivo en el sistema infectado:

  c:\windows\system32\taskgmr.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

También crea otros archivos en el raíz de la unidad C:

  c:\funny pic.scr
  c:\hellmsn.exe
  c:\my_photo2005.scr
  c:\see_this!!.scr

El gusano modifica algunas de las siguientes entradas del registro para ejecutarse en cada reinicio del sistema:

  HKCU\Software\Microsoft\Ole
  WINTASK = taskgmr.exe
 
  HKCU\Software\Microsoft\Windows
  \CurrentVersion\Run
  WINTASK = taskgmr.exe
 
  HKCU\System\CurrentControlSet\Control\Lsa
  WINTASK = taskgmr.exe
 
  HKLM\SOFTWARE\Microsoft\Ole
  WINTASK = taskgmr.exe
 
  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  WINTASK = taskgmr.exe
 
  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServices
  WINTASK = taskgmr.exe
 
  HKLM\SYSTEM\CurrentControlSet\Control\Lsa
  WINTASK = taskgmr.exe

Se propaga por correo electrónico enviándose como adjunto a todas las direcciones de email encontradas en el equipo infectado.

Para ello, obtiene direcciones electrónicas de la libreta de Windows y de todos los archivos de las siguientes carpetas:

  C:\WINDOWS\Temporary Internet Files\

  C:\Documents and Settings\[usuario]
  \Configuración local\Archivos temporales de Internet\

  C:\windows\system32\

También busca direcciones en archivos con las siguientes extensiones:

  .adb
  .asp
  .dbx
  .htm
  .php
  .sht
  .tbb
  .wab

Evita enviarse a aquellas direcciones cuyo nombre contenga alguna de las siguientes cadenas:

  .edu
  .gov
  .mil
  accoun
  acketst
  admin
  anyone
  arin.
  avp
  be_loyal:
  berkeley
  borlan
  bsd
  bugs
  certific
  contact
  example
  feste
  fido
  foo.
  fsf.
  gnu
  gold-certs
  google
  gov.
  help
  iana
  ibm.com
  icrosof
  icrosoft
  ietf
  info
  inpris
  isc.o
  isi.e
  kernel
  linux
  listserv
  math
  mit.e
  mozilla
  mydomai
  nobody
  nodomai
  noone
  not
  nothing
  ntivi
  page
  panda
  pgp
  postmaster
  privacy
  rating
  rfc-ed
  ripe.
  root
  ruslis
  samples
  secur
  sendmail
  service
  site
  soft
  somebody
  someone
  sopho
  submit
  support
  syma
  tanford.e
  the.bat
  unix
  usenet
  utgers.ed
  webmaster
  you
  Your
   
Utiliza su propio motor SMTP para enviar los mensajes. Para seleccionar el servidor, agrega al principio de los dominios de las direcciones seleccionadas, una de las siguientes cadenas:

  gate.
  mail.
  mail1.
  mx.
  mx1.
  mxs.
  ns.
  relay.
  smtp.

Los mensajes enviados tienen las siguientes características:

 De: [dirección falsa]

Puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:

  adam
  alex
  andrew
  anna
  bill
  bob
  brenda
  brent
  brian
  britney
  bush
  claudia
  dan
  dave
  david
  debby
  fred
  george
  helen
  jack
  james
  jane
  jerry
  jim
  jimmy
  joe
  john
  jose
  julie
  kevin
  leo
  linda
  lolita
  madmax
  maria
  mary
  matt
  michael
  mike
  peter
  ray
  robert
  sam
  sandra
  serg
  smith
  stan
  steve
  ted
  tom
 
También puede agregar uno de los siguientes dominios:

  aol.com
  cia.gov
  fbi.gov
  hotmail.com
  juno.com
  msn.com
  yahoo.com

 Asunto: [uno de los siguientes]

  [caracteres al azar]
  Error
  Good day
  hello
  Mail Delivery System
  Mail Transaction Failed
  Server Report
  Status

 Texto del mensaje: [uno de los siguientes]

  Here are your banks documents.

  Mail transaction failed. Partial message is available.

  The message cannot be represented in 7-bit ASCII encoding
  and has been sent as a binary attachment.

  The message contains Unicode characters and has been sent
  as a binary attachment.

  The original message was included as an attachments.

 Datos adjuntos: [uno de los siguientes]

  [caracteres al azar].???
  body.???
  data.???
  doc.???
  document.???
  file.???
  message.???
  readme.???
  test.???
  text.???

Donde "???" puede ser una de las siguientes extensiones:

  .bat
  .cmd
  .exe
  .pif
  .scr
  .zip

En el caso de un archivo con extensión .ZIP, el mismo contiene el código del gusano con el mismo nombre y doble extensión separadas por espacios.

El componente BOT se conecta por el puerto TCP 6667 a un canal de IRC en un servidor determinado, y queda a la espera de comandos de un usuario remoto.

Un atacante podrá realizar las siguientes acciones en el equipo infectado:

  Actualizarse a si mismo
  Borrar archivos
  Descargar archivos
  Ejecutar archivos
  Ejecutar otros comandos de IRC
  Obtener información del equipo infectado
  Reiniciar la computadora

Agrega el siguiente texto al archivo HOSTS:
 
  127 .0 .0 .1 avp .com
  127 .0 .0 .1 ca .com
  127 .0 .0 .1 customer .symantec .com
  127 .0 .0 .1 dispatch .mcafee .com
  127 .0 .0 .1 download .mcafee .com
  127 .0 .0 .1 f-secure .com
  127 .0 .0 .1 kaspersky .com
  127 .0 .0 .1 kaspersky-labs .com
  127 .0 .0 .1 liveupdate .symantec .com
  127 .0 .0 .1 liveupdate .symantecliveupdate .com
  127 .0 .0 .1 mast .mcafee .com
  127 .0 .0 .1 mcafee .com
  127 .0 .0 .1 my-etrust .com
  127 .0 .0 .1 nai .com
  127 .0 .0 .1 networkassociates .com
  127 .0 .0 .1 rads .mcafee .com
  127 .0 .0 .1 secure .nai .com
  127 .0 .0 .1 securityresponse .symantec .com
  127 .0 .0 .1 sophos .com
  127 .0 .0 .1 symantec .com
  127 .0 .0 .1 trendmicro .com
  127 .0 .0 .1 update .symantec .com
  127 .0 .0 .1 updates .symantec .com
  127 .0 .0 .1 us .mcafee .com
  127 .0 .0 .1 viruslist .com
  127 .0 .0 .1 www .avp .com
  127 .0 .0 .1 www .ca .com
  127 .0 .0 .1 www .f-secure .com
  127 .0 .0 .1 www .grisoft .com
  127 .0 .0 .1 www .kaspersky .com
  127 .0 .0 .1 www .mcafee .com
  127 .0 .0 .1 www .my-etrust .com
  127 .0 .0 .1 www .nai .com
  127 .0 .0 .1 www .networkassociates .com
  127 .0 .0 .1 www .sophos .com
  127 .0 .0 .1 www .symantec .com
  127 .0 .0 .1 www .trendmicro .com
  127 .0 .0 .1 www .viruslist .com

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "WINTASK", en las siguientes claves del registro:

  HKCU\Software\Microsoft\Ole
 
  HKCU\Software\Microsoft\Windows
  \CurrentVersion\Run
 
  HKCU\System\CurrentControlSet\Control\Lsa
 
  HKLM\SOFTWARE\Microsoft\Ole
 
  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
 
  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServices
 
  HKLM\SYSTEM\CurrentControlSet\Control\Lsa
 
6. Cierre el editor del Registro del sistema.

7. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

  c:\windows\
  c:\windows\system32\drivers\etc\
  c:\winnt\system32\drivers\etc\

8. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

9. Borre todas las líneas que comiencen con un número, salvo las siguientes:

  127.0.0.1   localhost

10. Acepte guardar los cambios al salir del bloc de notas.

11. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.