Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

El gusano aprovecha la vulnerabilidad MIME exploit que permite que el archivo infectado se ejecute con tan solo leer el mensaje bajo la opción de vista previa. 

Este Visual Basic Script se ejecuta únicamente en los sistemas que tienen instalado el Microsoft Windows Script Host en Windows 98, Me, 2000 y XP. Esta es una muy útil y poderosa plataforma independiente, que facilita la ejecución de Scripts desde el Escritorio o la Línea de Comandos de los sistemas operativos. 

Si el gusano no encuentra el Windows Scripting Host en el sistema, no procederá a infectarlo. Sin embargo para facilitar los procesos o automatizar las tareas la mayoría de equipos lo tienen instalado.    

La muestra obtenida fue enviada desde España (+1 GMT)

Al visualizar el mensaje el gusano muestra en pantalla la siguiente caja de diálogo:

Si el usuario hace clic en "No" se mostrará en el cuerpo del mensaje de correo el siguiente texto y el gusano no ejecutará sus procesos de infección:

"Para votar en contra de la guerra abra este mensaje de nuevo y haga clic en yes! Es muy importante! Gracias!" 

Pero si se hace clic en "Yes" se mostrará en el cuerpo del mensaje el siguiente texto y el gusano ejecutará sus procesos de infección: 

"Gracias por su voto en contra de la guerra. Nosotros ahora enviaremos un mensaje al Sr Bush por Ud." 

Al auto-ejecutarse el archivo anexado y oculto, el gusano se auto-copia a la carpeta %Windir% con un nombre aleatorio de 7 caracteres alfabéticos, que se encuentran cifrados en el código viral, mas la extensión .vbs

%Windir%\[nombre_aleatorio.vbs] 

Ejemplo: JWTGSYA.vbs

Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[Nombre_de_archivo_aleatorio] = "wscript.exe %Windir%\[Nombre_de_archivo_aleatorio].vbs %"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Adicionalmente crea una llave de registro, con el valor inicial de "0", el cual se incrementará en cada infección y asociada en la fecha vigente en la cual se ejecute su rutina de infección en el sistema:

[HKEY_CLASSES_ROOT\Lisa\InfectionDate]
Date = 0 

Del mismo modo agrega las siguientes entradas de llaves, para registrar que su rutina de envío a través de mensajes de correo ya fue ejecutada y evitar de esta manera que la vuelva a hacer.

[HKEY_LOCAL_MACHINE\Software\CLASSES\Lisa\Mail]
Send = 00000001

[HKEY_CLASSES_ROOT\Lisa\Mail]
Send = 00000001 

Una vez activado el gusano, infecta todos los archivos con extensión .VBS y .VBE, borra los de extensión .DOC y archivos vitales del sistema, tales como el WIN.COM y el REGEDIT.EXE. 

Asimismo genera hasta 5,000 carpetas y archivos de texto, disminuyendo de este modo el rendimiento del equipo o colapsándolo por saturación.

El parche para el MIME exploit puede ser descargado de:

• Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
• Modifica el SCRIPT.INI del software mIRC e infecta a los usuarios de una misma sesión de Chat, con un efecto multiplicador.
• Oculta los iconos del Escritorio de Windows.
• Borra los archivos con extensión .DOC de todas las unidades de disco del sistema. 
• Borra el archivo WIN.COM y REGEDIT.EXE del directorio de Windows.
• Al tercer día que el sistema permanece infectado el gusano borra archivos de diversas extensiones.
• Crea 5,000 carpetas y archivos de texto en la unidad C: del disco.  
• Formatea la unidad C: del disco en sistemas con Windows 98 o Millennium.
• Deja inoperativo al sistema. 

PER ANTIVIRUS® versión 8.0 con registro de virus al 02 de Abril del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 6 horas entre Perú (-5 GMT) y España (+1 GMT)