Cuando se ejecuta, crea el siguiente archivo en la carpeta del sistema:

  c:\windows\system32\m0use.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

El gusano modifica algunas de las siguientes entradas del registro para ejecutarse en cada reinicio del sistema:

  HKCU\Software\Microsoft\Windows
  \CurrentVersion\Run
  Userinterface Report3r = m0use.exe

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  Userinterface Report3r = m0use.exe

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServices
  Userinterface Report3r = m0use.exe

Crea la siguiente entrada:

  HKLM\Software\Microsoft\Windows NT
  \CurrentVersion\Winlogon
  Shell = Explorer.exe m0use.exe

En Windows XP con SP2, también modifica las siguientes entradas para bajar el nivel de seguridad en el equipo infectado (políticas del cortafuegos):

  HKLM\SYSTEM\CurrentControlSet
  \Services\SharedAccess
  Start = 4

  HKLM\SYSTEM\ControlSet001
  \Services\SharedAccess
  Start = 4

Es capaz de volver a crear las claves del registro que utiliza, si las mismas son borradas.

Abre el bloc de notas y muestra caracteres sin sentido.

Se propaga por correo electrónico enviándose como adjunto a todas las direcciones de email encontradas en el equipo infectado.

Para ello, obtiene direcciones electrónicas de la libreta de Windows y de todos los archivos de las siguientes carpetas:

  C:\WINDOWS\Temporary Internet Files\

  C:\Documents and Settings\[usuario]
  \Configuración local\Archivos temporales de Internet\

  C:\windows\system32\

También busca direcciones en archivos con las siguientes extensiones:

  .adb
  .asp
  .cgi
  .dbx
  .htm
  .html
  .jsp
  .php
  .sht
  .tbb
  .txt
  .wab
  .xml

Evita enviarse a aquellas direcciones cuyo nombre contenga alguna de las siguientes cadenas:

  .gov
  .mil
  abuse
  accoun
  acketst
  admin
  administrator
  anyone
  arin.
  avp
  berkeley
  borlan
  bsd
  bsd
  bugs
  certific
  contact
  example
  fcnz
  feste
  fido
  foo.
  fsf.
  gnu
  gold-certs
  google
  google
  gov.
  help
  hotmail
  iana
  ibm.com
  icrosof
  icrosoft
  ietf
  info
  inpris
  isc.o
  isi.e
  kernel
  linux
  linux
  listserv
  mail
  math
  mit.e
  mozilla
  msn.
  mydomai
  nobody
  nodomai
  noone
  not
  nothing
  ntivi
  page
  panda
  pgp
  postmaster
  privacy
  rating
  register
  rfc-ed
  ripe.
  root
  ruslis
  samples
  secur
  secur
  sendmail
  service
  site
  soft
  somebody
  someone
  sopho
  spm
  submit
  support
  syma
  tanford.e
  the.bat
  unix
  unix
  usenet
  utgers.ed
  webmaster
  www
  you
  your

El gusano utiliza su propio motor SMTP para enviar los mensajes. Para seleccionar el servidor, agrega al principio de los dominios de las direcciones seleccionadas, una de las siguientes cadenas:

  gate.
  mail.
  mail1.
  mx.
  mx1.
  mxs.
  ns.
  relay.
  smtp.

Los mensajes enviados tienen las siguientes características:

 De: [dirección falsa]

Puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:

  adam
  alex
  andrew
  anna
  bill
  bob
  brenda
  brent
  brian
  claudia
  dan
  dave
  david
  debby
  frank
  fred
  george
  helen
  jack
  james
  jane
  jerry
  jim
  jimmy
  joe
  john
  jose
  josh
  julie
  kevin
  leo
  linda
  maria
  mary
  matt
  michael
  mike
  paul
  peter
  ray
  robert
  sales
  sam
  sandra
  serg
  smith
  stan
  steve
  ted
  tom

 Asunto: [uno de los siguientes]

  [caracteres al azar]
  You have successfully updated your password
  Your new account password is approved
  Your password has been successfully updated
  Your password has been updated

El texto del mensaje está vacío.

 Datos adjuntos: [uno de los siguientes]

  [caracteres al azar].???
  accepted-password.???
  account-password.???
  approved-password.???
  email-password.???
  new-password.???
  password.???
  updated-password.???

Donde ??? puede ser una de las siguientes extensiones:
 
  .bat
  .cmd
  .exe
  .pif
  .scr
  .zip

En el caso de un archivo con extensión .ZIP, el mismo contendrá el código del gusano con el mismo nombre y doble extensión separadas por espacios, donde la primer extensión será una de las siguientes:
 
  .doc
  .htm
  .txt
 
Y la segunda una de las siguientes:
 
  .exe
  .pif
  .scr
 
El componente BOT utiliza el puerto TCP 7745  para conectarse a un canal de IRC , y queda a la espera de comandos de un usuario remoto.

Un atacante podrá realizar las siguientes acciones en el equipo infectado:

  Actualizarse a si mismo
  Borrar archivos
  Descargar archivos
  Ejecutar archivos
  Ejecutar otros comandos de IRC
  Obtener información del equipo infectado
  Reiniciar la computadora

Agrega el siguiente texto al archivo HOSTS:
 
  127 . 0 . 0 . 1 avp . com
  127 . 0 . 0 . 1 ca . com
  127 . 0 . 0 . 1 customer . symantec . com
  127 . 0 . 0 . 1 dispatch . mcafee . com
  127 . 0 . 0 . 1 download . mcafee . com
  127 . 0 . 0 . 1 ebay . com
  127 . 0 . 0 . 1 f-secure . com
  127 . 0 . 0 . 1 kaspersky . com
  127 . 0 . 0 . 1 kaspersky-labs . com
  127 . 0 . 0 . 1 liveupdate . symantec . com
  127 . 0 . 0 . 1 liveupdate . symantecliveupdate . com
  127 . 0 . 0 . 1 mast . mcafee . com
  127 . 0 . 0 . 1 mcafee . com
  127 . 0 . 0 . 1 microsoft . com
  127 . 0 . 0 . 1 moneybookers . com
  127 . 0 . 0 . 1 my-etrust . com
  127 . 0 . 0 . 1 nai . com
  127 . 0 . 0 . 1 networkassociates . com
  127 . 0 . 0 . 1 pandasoftware . com
  127 . 0 . 0 . 1 paypal . com
  127 . 0 . 0 . 1 rads . mcafee . com
  127 . 0 . 0 . 1 secure . nai . com
  127 . 0 . 0 . 1 securityresponse . symantec . com
  127 . 0 . 0 . 1 sophos . com
  127 . 0 . 0 . 1 symantec . com
  127 . 0 . 0 . 1 trendmicro . com
  127 . 0 . 0 . 1 update . symantec . com
  127 . 0 . 0 . 1 updates . symantec . com
  127 . 0 . 0 . 1 us . mcafee . com
  127 . 0 . 0 . 1 viruslist . com
  127 . 0 . 0 . 1 viruslist . com
  127 . 0 . 0 . 1 virustotal . com
  127 . 0 . 0 . 1 www . amazon . ca
  127 . 0 . 0 . 1 www . amazon . co . uk
  127 . 0 . 0 . 1 www . amazon . com
  127 . 0 . 0 . 1 www . amazon . fr
  127 . 0 . 0 . 1 www . avp . com
  127 . 0 . 0 . 1 www . ca . com
  127 . 0 . 0 . 1 www . ebay . com
  127 . 0 . 0 . 1 www . f-secure . com
  127 . 0 . 0 . 1 www . grisoft . com
  127 . 0 . 0 . 1 www . kaspersky . com
  127 . 0 . 0 . 1 www . mcafee . com
  127 . 0 . 0 . 1 www . microsoft . com
  127 . 0 . 0 . 1 www . moneybookers . com
  127 . 0 . 0 . 1 www . my-etrust . com
  127 . 0 . 0 . 1 www . nai . com
  127 . 0 . 0 . 1 www . networkassociates . com
  127 . 0 . 0 . 1 www . pandasoftware . com
  127 . 0 . 0 . 1 www . paypal . com
  127 . 0 . 0 . 1 www . sophos . com
  127 . 0 . 0 . 1 www . symantec . com
  127 . 0 . 0 . 1 www . trendmicro . com
  127 . 0 . 0 . 1 www . viruslist . com
  127 . 0 . 0 . 1 www . virustotal . com

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna Nombre, la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en las siguientes claves del registro:

  HKCU\Software\Microsoft\Ole
 
  HKCU\Software\Microsoft\Windows
  \CurrentVersion\Run
 
  HKCU\System\CurrentControlSet\Control\Lsa
 
  HKLM\SOFTWARE\Microsoft\Ole
 
  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
 
  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServices
 
  HKLM\SYSTEM\CurrentControlSet\Control\Lsa
 
6. Cierre el editor del Registro del sistema.

7. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

  c:\windows\
  c:\windows\system32\drivers\etc\
  c:\winnt\system32\drivers\etc\

8. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione Seleccionar el programa de una lista, Aceptar, y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE Utilizar siempre el programa seleccionado para abrir este tipo de archivos.

9. Borre todas las líneas que comiencen con un número, salvo las siguientes:

  127.0.0.1   localhost

10. Acepte guardar los cambios al salir del bloc de notas.

11. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.