Remitente, la combinación de uno de los nombres:

• protect
• secur
• security
• securmail

con cualquiera de los dominios:

• @hotmail.com
• @gmail.com
• @aol.com
• @msn.com
• @yahoo.com

Asunto: happy new year

o la combinación de las siguientes cadenas:

[Cadena_1]

Secure
Protected
Encrypted
Extended

[Cadena_2]

Mail
E-Mail
Message
Html

[Cadena_3]

[Vacío]
System
Service
Service [dominio]
from [dominio] user.

[Cadena_4]

Thank you
Sincerely
Best Regards

Contenido:

You have received [Cadena_1] [Cadena_] from [dominio] user.
This message is addressed personally for you.
To decrypt your message use the following details:

ID: [números_aleatorios]
Password: [letras_aleatorias]

Keep your password in a safe place and under no circumstances give it
to ANYONE.

[Cadena_1] [Cadena_2] and instruction is attached.

[Cadena_4]
[Cadena_1] [Cadena_2] [Cadena_3],

[DOMAIN]p

Encrypted Message and instruction is attached.

Best Regards,
Encrypted E-mail Service,
MSN.com

Anexado, uno de los siguientes:

• msg.zip
• message.zip
• data.zip
• mail.zip

Estos contienen un archivo compuesto por una o mas cadenas y la extensión .HTA

Al hacer click en el archivo, éste se desempaqueta en memoria, libera el JavaScript y se copia a la carpeta %System% como:

• MS[caracteres_aleatorios].exe
• MS[caracteres_aleatorios]
• MS[caracteres_aleatorios]32.DLL

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al activarse el .HTA ejecuta el archivo Command.exe en las rutas:

• C:\Command.exe
• %UserProfile%\All Users\Start Menu\Programs\Startup\Command.exe

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows NT/2000/XP.

Para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves y sub-llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components]
{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
"Stubpath" = "C:\COMMAND.EXE"
[HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]\InprocServer32]
"default" = "%System%\[ruta_al_componente_DLL]"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
"[nombre_del_componente_DLL_del gusano]" = "[CLSID_aleatoria]"

Al siguiente inicio del sistema con el objeto de disminuir su estabilidad termina los servicios de los programas relacionados a seguridad que tengan una de las siguientes cadenas:

• armor2net
• armorwall
• avgcc
• avp6
• aws
• bgnewsui
• blackd
• bullguard
• ca
• ccapp
• ccevtmgr
• ccproxy
• ccsetmgr
• dfw
• dpf
• fbtray
• fireballdta
• FirePM
• firesvc
• firewal
• fsdfwd
• fw
• fwsrv
• goldtach
• hacker
• hackereliminator
• iamapp
• iamserv
• internet security
• ipatrol
• ipcserver
• jammer
• kaspe
• kavpf
• keylog
• keypatrol
• KmxAgent
• KmxBiG
• KmxCfg
• KmxFile
• KmxFw
• KmxIds
• KmxNdis
• KmxSbx
• kpf4gui
• kpf4ss
• leviathantrial
• looknstop
• mcafeefire
• mpftray
• netlimiter
• npfc
• npfmsg
• npfsvice
• npgui
• opf
• opfsvc
• outpost
• pavfnsvr
• pccpfw
• pcipim
• pcIPPsC
• persfw
• rapapp
• RapDrv
• smc
• sndsrvc
• spfirewallsvc
• spfw
• sppfw
• sspfwtry2
• s-wall
• symlcsvc
• ton
• tzpfw
• umxtray
• vipnet
• vsmon
• xeon
• xfilter
• zapro
• zlclient
• zonealarm

Inmediatamente carga el archivo infectado %System%\MS[caracteres_aleatorios]32.DLL en todos y cada uno de los procesos activos usando un Rootkit para ocultar sus archivos y llaves de registro. 

borra todas las llaves de inicio del sistema asociadas a los servicios que dependan de esta sub-llave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\[nombre_de_servicio]

agrega la siguiente sub-llave de registro: