Evitando enviarse a las direcciones que tengan las siguientes cadenas:

• @avp.
• @iana
• @messagelab
• abuse
• admin
• anyone@
• bugs@
• cafee
• certific
• contract@
• feste
• free-av
• f-secur
• gold-certs@
• google
• help@
• icrosoft
• info@
• linux
• listserv
• local
• nobody@
• noone@
• noreply
• ntivi
• panda
• postmaster@
• rating@
• root@
• samples
• sopho
• support
• update
• winrar
• winzip

Anexado, uno de los siguientes:

• Dnew_price[fecha_del_día].zip
• price [fecha_del_día].zip
• latest_price[fecha_del_día].zip

El archivo se desempaqueta en memoria y convierte en un .EXE

Al ser activado el gusano, crea en el directorio raíz del disco C:\ el archivo ERROR.TXT, el cual tiene el siguiente contenido:

Este texto se abrirá cada vez que se inicie le sistema, usando el editor de textos configurado por defecto en el sistema infectado. 

Luego copia a la carpeta HIDN, que crea en la ruta %User Profile%\Application Data, los siguientes archivos:

• HIDN2.EXE
• HLDRRR.EXE 

Para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"drv_st_key" = "%User Profile%\Application Data\hidn\hidn2.exe"

también agrega la siguiente sub-llave:

[HKEY_CURRENT_USER\Software\FirstRun]
FirstRun = "1"

Y para impedir que es sistema pueda ser inciado en modo seguro crea la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet]
Control\SafeBoot

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP 

Al siguiente inicio se activa en memoria e intenta descargar y ejecutar un Script PHP desde una de las siguientes direcciones:

• http://[censurado]50clothing.com/123.gif
• http://[censurado]andshock.com/1/eml.php
• http://[censurado]arlesspaans.com/123.gif
• http://[censurado]ataresgratis.com/1/eml.php
• http://[censurado]atba.viskot.cz/123.gif
• http://[censurado]atsk.wz.cz/123.gif
• http://[censurado]b-comp.hu/123.gif
• http://[censurado]bernegocios.com.ar/123.gif
• http://[censurado]bfull.com/123.gif
• http://[censurado]brachina.net/123.gif
• http://[censurado]ca.dnetsolution.net/1/eml.php
• http://[censurado]cesible.cl/1/eml.php
• http://[censurado]d-c.com.au/1/eml.php
• http://[censurado]dlady.com/1/eml.php
• http://[censurado]dus.ru/123.gif
• http://[censurado]eainspire.com/1/eml.php
• http://[censurado]ecanada.com/123.gif
• http://[censurado]eckalertusa.com/123.gif
• http://[censurado]elero.hu/123.gif
• http://[censurado]emz.ru/123.gif
• http://[censurado]f666.shockonline.net/123.gif
• http://[censurado]ga-sps.com/123.gif
• http://[censurado]goodesign.ch/123.gif
• http://[censurado]ich-kaestner-schule-donaueschinge
• http://[censurado]ickimbit.de/123.gif
• http://[censurado]ikesimple.com/123.gif
• http://[censurado]ime.gushi.org/123.gif
• http://[censurado]infotech.com/123.gif
• http://[censurado]isenhaus-kenya.ch/123.gif
• http://[censurado]lamarco.com/123.gif
• http://[censurado]light.nazwa.pl/1/eml.php
• http://[censurado]liklinika-vajnorska.sk/123.gif
• http://[censurado]lvo.com/123.gif
• http://[censurado]maramafra.sc.gov.br/1/eml.php
• http://[censurado]maxtechnologies.net/123.gif
• http://[censurado]mposequipamentos.com.br/1/eml.php
• http://[censurado]nabreznaknm.sk/123.gif
• http://[censurado]ncellodesandias.com/123.gif
• http://[censurado]nchef.com/123.gif
• http://[censurado]ngsan24.co.kr/1/eml.php
• http://[censurado]niguntugla.com/123.gif
• http://[censurado]novation.ojom.net/123.gif
• http://[censurado]nvakfi.com/123.gif
• http://[censurado]parefrescos.stantonstreetgroup.com/1/eml.php
• http://[censurado]pilots.org/123.gif
• http://[censurado]radio.sos.pl/1/eml.php
• http://[censurado]ralstrategies.com/123.gif
• http://[censurado]ramax.co.kr/123.gif
• http://[censurado]ranmaisala.com/1/eml.php
• http://[censurado]roinc.com/123.gif
• http://[censurado]salfold.com/123.gif
• http://[censurado]senjoi.com.br/1/eml.php
• http://[censurado]ssgroup.de/123.gif
• http://[censurado]stemforex.de/123.gif
• http://[censurado]tchillishop.de/123.gif
• http://[censurado]telesalba.com/1/eml.php
• http://[censurado]travel.ru/123.gif
• http://[censurado]tsrisuphan.org/123.gif
• http://[censurado]tukas.com/123.gif
• http://[censurado]ua132.org/123.gif
• http://[censurado]updogus.de/123.gif
• http://[censurado]v.jintek.com/123.gif
• http://[censurado]vamodelhobby.com/123.gif
• http://[censurado]v-kopretiny.ic.cz/123.gif
• http://[censurado]xvcoin.com/123.gif
• http://[censurado]yoglu.com.tr/1/eml.php
• http://www.[censurado].ohio-state.edu/123.gif
• http://www.[censurado].ohio-state.edu/123.gif
• http://www.[censurado]anpl.com/1/eml.php
• http://www.[censurado]apisteriadaniel.com/123.gif
• http://www.[censurado]-aufbau-bautzen.de/123.gif
• http://www.[censurado]em.cl/1/eml.php
• http://www.[censurado]fj.com/123.gif
• http://www.[censurado]hat.cz/123.gif
• http://www.[censurado]huate.com/123.gif
• http://www.[censurado]ittychat.com/123.gif
• http://www.[censurado]jbwadersloh.de/123.gif
• http://www.[censurado]lsch.de/123.gif
• http://www.[censurado]ov.de/123.gif
• http://www.[censurado]profile.gr/1/eml.php
• http://www.[censurado]raura.com/1/eml.php
• http://www.[censurado]rsten.de/123.gif
• http://www.[censurado]rt.ru/123.gif
• http://www.[censurado]scotecapuzzle.com/1/eml.php
• http://www.[censurado]tanmotors.com/images/1/eml.php
• http://www.[censurado]ydigital.co.kr/1/eml.php

Actualmente el archivo ha sido deshabilitado.