Al ejecutarse, crea uno de los siguientes archivos:

  c:\windows\system32\lil32\swchost.exe

Agrega las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  Windows Email Server =
  "[camino y nombre del troyano]"
 
  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServices
  Windows Email Server =
  "[camino y nombre del troyano]"
 
  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  Windows explore =
  "[camino y nombre del troyano]"
 
  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServices
  Windows explore =
  "[camino y nombre del troyano]"

El gusano comprueba continuamente la existencia de estas claves y las vuelve a crear si son borradas con el virus todavía en memoria.

También modifica la siguiente entrada para deshabilitar el Administrador de tareas de Windows:

  HKCU\Software\Microsoft\Windows
  \CurrentVersion\Policies\System
  DisableTaskMgr = "4"

El gusano se propaga por correo electrónico enviándose a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada. Para ello utiliza su propio motor SMTP.

Los mensajes tendrán las siguientes características:

Asunto: Account Alert

Texto del mensaje:

  Dear Valued Member,
  According to our terms of services, you will have to
  confirm your e-mail by the following link or your account
  will be suspended within 24 hours for security reasons.
 
  [enlace]
 
  After following the instructions in the sheet, your
  account will not be interrupted and will continue as
  normal.
 
  Thanks for your attention to this request. We apologize
  for any inconvenience.
 
  Sincerely,
  [dominio] Abuse Department
 
El enlace descarga una copia del gusano desde Internet.

El componente BOT intenta conectarse a un determinado canal de IRC. Esta conexión permite que un usuario remoto pueda acceder al sistema infectado y realizar acciones como las siguientes:

  - Actualizarse a si mismo
  - Borrar archivos
  - Descargar archivos
  - Ejecutar archivos
  - Ejecutar otros comandos de IRC
  - Obtener información del equipo infectado
  - Reiniciar la computadora

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en las siguientes claves del registro:

  HKCU\Software\Microsoft
  \Windows\CurrentVersion
  \Policies\System
 
  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion
  \Run
 
  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion
  \RunServices

5. Cierre el editor del Registro del sistema.

6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia peligrosa.