Cuando el troyano se ejecuta intenta descargar un archivo desde un sitio predeterminado, el archivo descargado es guardado con un nombre aleatorio en la siguiente carpeta:

  C:\Windows\System\[nombre aleatorio]

Luego este archivo es ejecutado, creando una copia dentro de la siguiente carpeta:

  C:\Windows\System\wind2ll2.exe 

Este ultimo es el gusano propiamente dicho, el cual se propaga en forma masiva como spam.

Crea la siguiente entrada en el registro de Windows:

  HKCU\Software\Microsoft
  \Windows\CurrentVersion\Ru1n
  erfgddfk = c:\windows\system\wind2ll2.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Los mensajes que utiliza para propagarse tienen las siguientes características:

 Asunto: [uno de los siguientes]

  Ales
  Alice
  Alyce
  Andrew
  Androw
  Androwe
  Ann
  Anna
  Anne
  Annes
  Anthonie
  Anthony
  Anthonye
  Avice
  Avis
  Bennet
  Bennett
  Christean
  Christian
  Constance
  Cybil
  Daniel
  Danyell
  Dorithie
  Dorothee
  Dorothy
  Edmond
  Edmonde
  Edmund
  Edward
  Edwarde
  Elizabeth
  Elizabethe
  Ellen
  Ellyn
  Emanual
  Emanuel
  Emanuell
  Ester
  Frances
  Francis
  Fraunces
  Gabriell
  Geoffraie
  George
  Grace
  Harry
  Harrye
  Henrie
  Henry
  Henrye
  Hughe
  Humphrey
  Humphrie
  Isabel
  Isabell
  James
  Jane
  Jeames
  Jeffrey
  Jeffrye
  Joane
  Johen
  John
  Josias
  Judeth
  Judith
  Judithe
  Katherine
  Katheryne
  Leonard
  Leonarde
  Margaret
  Margarett
  Margerie
  Margerye
  Margret
  Margrett
  Marie
  Martha
  Mary
  Marye
  Michael
  Mychaell
  Nathaniel
  Nathaniell
  Nathanyell
  Nicholas
  Nicholaus
  Nycholas
  Peter
  Ralph
  Rebecka
  Richard
  Richarde
  Robert
  Roberte
  Roger
  Rose
  Rycharde
  Samuell
  Sara
  Sidney
  Sindony
  Stephen
  Susan
  Susanna
  Suzanna
  Sybell
  Sybyll
  Syndony
  Thomas
  Valentyne
  William
  Winifred
  Wynefrede
  Wynefreed
  Wynnefreede

 Texto del mensaje:[uno de los siguientes]

  All-foto
  AN-FOTO
  D-Foto
  FOTO HOME
  foto land
  Foto Portal
  foto telephone
  Foto&Video
  Foto.Md
  FOTO-1
  FOTO-2
  FOTO-3
  FOTO-4
  foto-bank
  foto-books
  FOTO-DIGITAL
  foto-flower
  foto-forum
  Foto-War
  Internet-foto
  MAIL.FOTO
  m-foto
  my foto
  OK-FOTO
  S-Foto
  VIP-foto
  web-foto

El nombre del archivo adjunto es creado utilizando uno de los nombres de los asuntos utilizados por el mensaje enviado por el gusano.

 Ejemplos:

  Christian.zip
  Dorothy.zip
  Ellen.zip
  Jane.zip

El ".ZIP" contiene dentro uno de los siguientes archivos "1", "12", "123.exe", cuando este es ejecutado se copia en la siguiente carpeta:

  C:\Windows\System\anti_troj.exe

Para ejecutarse en cada reinicio del sistema el troyano crea las siguientes entradas del registro:

  HKCU\Software\Microsoft
  \Windows\CurrentVersion\Run
  anti_troj = c:\windows\system\anti_troj.exe

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run
  anti_troj = c:\windows\system\anti_troj.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Inmediatamente se muestra en pantalla la siguiente imagen:

También crea la siguiente entrada:

  HKCU\Software\FirstRRRun\FirstRRRun

El troyano contiene una lista de varios sitios:

  202.44.52.38
  209.126.128.203
  25kadr.org
  65.108.195.73
  757555.ru
  80.146.233.41
  abtechsafety.com
  abtechsafety.com
  acentrum.pl
  adavenue.net
  adoptionscanada.ca
  adventecgroup.com
  agenciaspublicidadinternet.com
  ahava.cafe24.com
  aibsnlea.org
  aikidan.com
  ala-bg.net
  alevibirligi.ch
  alfaclassic.sk
  allanconi.it
  allinfo.com.au
  americasenergyco.com
  amerykaameryka.com
  amistra.com
  analisisyconsultoria.com
  av2026.comex.ru
  calamarco.com
  ccooaytomadrid.org
  charlies-truckerpage.de
  drinkwater.ru
  eleceltek.com
  furdoszoba.info
  kepter.kz
  mijusungdo.net
  oklens.co.jp
  phrmg.org
  s89.tku.edu.tw
  sacafterdark.net
  template.nease.net
  tkdami.net
  virt33.kei.pl
  www.8ingatlan.hu
  www.a2zhostings.com
  www.abavitis.hu
  www.adamant-np.ru
  www.agroturystyka.artneo.pl
  www.americarising.com
  www.barth.serwery.pl
  www.bmswijndepot.com
  www.etwas-mode.de
  www.leap.co.il
  www.rewardst.com
  www.timecontrol.com.pl
  www.ubu.pl

De ellos intenta descargar un archivo, este es guardado en la siguiente carpeta:

  C:\Windows\System\exefld\[nombre aleatorio]

Después ejecuta dicho archivo.

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Busque la siguiente clave del registro:

  HKCU\Software\FirstRRRun\FirstRRRun

6. Elimine la siguiente carpeta:

  FirstRRRun

7. Busque la siguiente clave del registro:

  HKCU\Software\Microsoft
  \Windows\CurrentVersion\Ru1n

8. Elimine la siguiente carpeta:
 
  Ru1n

9. Elimine bajo la columna "Nombre", la entrada "anti_troj", en la siguiente clave del registro:

  HKCU\Software\Microsoft
  \Windows\CurrentVersion\Run
  anti_troj = c:\windows\system\anti_troj.exe

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run
  anti_troj = c:\windows\system\anti_troj.exe

10. Cierre el editor del Registro del sistema.

11. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.