Cuando se ejecuta, el gusano se copia en el directorio System de Windows con el siguiente nombre:

  c:\windows\system\syscfg32.exe

De acuerdo a la versión de sistema operativo, las carpetas "C:\Windows" y "C:\Windows\System" pueden variar ("C:\WinNT", "C:\WinNT\System32", "C:\Windows\System32").

Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio:

  HKLM\Software\Microsoft
  \Windows\CurrentVersion\Run
  syscfg = c:\windows\system\syscfg32.exe

  HKCU\Software\Microsoft
  \Windows\CurrentVersion\RunServices
  syscfg = c:\windows\system\syscfg32.exe

Busca la carpeta compartida por la utilidad KaZaa, y se copia en ella con diferentes nombres, por ejemplo:

  AIM Hacker.exe
  Doom3 Preview.exe
  Half-Life 2 Beta5.exe
  Hotmail Password Cracker.exe
  Kazaa Lite 3.0.exe
  Music Downloader.exe
  Norton Anti-Virus 2003 Crack.exe
  Quicktime 6 Professional.exe
  WinAmp 4.00.exe
  Windows 2003 Preview.exe
  Windows XP Professional Crack.exe

El gusano se envía luego, en un mensaje como el siguiente, a todos los contactos de la libreta de direcciones de Windows, utilizando su propio SMTP, por lo que no depende del programa de correo instalado:

  Asunto [uno de los siguientes]:

• check this out
• please give me feedback on this
• long time no see
• pictures of the kids
• good antivirus

  Texto:

  Check this out.

  Datos adjuntos: app.exe

También se conecta a un canal de chat predeterminado, utilizando su propio cliente IRC, y queda a la espera de comandos de un usuario remoto. Algunas de las acciones posibles son las siguientes:

• Administrar la instalación del gusano
• Controlar el cliente IRC en la máquina infectada
• Descargar y ejecutar archivos
• Enviar el gusano a otros canales de IRC para infectarlos
• Enviar información del sistema y de la red al atacante
• Enviar nombres de usuario y contraseñas del caché al atacante
• Interceptar información normalmente mostrada solo en pantalla
• Modificar parámetros como resolución de pantalla, colores, etc.
• Realizar ataques de denegación de servicio (DoS) a un blanco específico definido por el atacante.

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna "Nombre", la entrada "syscfg", en las siguientes entradas del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

  HKCU\Software\Microsoft\Windows
  \CurrentVersion\RunServices

3. Cierre el editor del Registro del sistema.

4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.