El gusano deshabilita cualquier Firewall que estuviese instalado en el sistema infectado para permitir la ejecución de su componente Backdoor.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado en C++, con una extensión de 30.5 KB compilado con el formato LCC Win32 y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

El LCC Win32 es un formato generado por el Entorno de Desarrollo C para sistemas operativos MS Windows creado por Jacob Navial.

http://www.cs.virginia.edu/~lcc-win32

Al activarse se copia a la carpeta %System% como svcsvh32.exe y para ejecutarse la próxima que ser re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsDiskEvt" = "%System%\svcsvh32.exe" 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsDiskEvt" = "%System%\svcsvh32.exe" 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo crea el mutex "svcsvh32.exe" para evitar infectar el sistema más de una vez.

Para impedir el bloqueo de su componente Backdoor, el gusano deshabilita la configuración del Firewall, con el siguiente comando:

luego termina los siguientes procesos relacionados a sistemas de seguridad:

• winzip.exe
• scanregw.exe
• update.exe
• mcvsrte.exe
• teatimer.exe
• kpf4gui.exe
• kpf4ss.exe
• wupdmgr.exe
• wuauclt.exe
• wuauclt1.exe
• symwsc.exe
• savscan.exe
• mrt.exe
• ad-watch.exe
• gcasserv.exe
• ccevtmgr.exe
• ccapp.exe
• nmain.exe
• navw32.exe
• gcasdtserv.exe
• mcupdate.exe
• mcshield.exe

permitiendo ejecutar remotamente los siguientes comandos:

• Descargar y ejecutar archivos con códigos malignos.
• Borrar archivos en las unidades del sistema.
• Capturar y enviar información del sistema.