El gusano deshabilita cualquier Firewall que estuviese instalado en el sistema infectado para permitir la ejecución de su componente Backdoor.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado en C++, con una extensión de 12.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Al activarse se copia a la carpeta %System% como svchon32.exe y para ejecutarse la próxima que ser re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ProtocolModuleCmd"="%System%\svchon32.exe" 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ProtocolModuleCmd"="%System%\svchon32.exe" 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo crea el mutex "svchon32.exe" para evitar infectar el sistema más de una vez.

Para impedir el bloqueo de su componente Backdoor, el gusano deshabilita la configuración del Firewall, creando un archivo .BAT temporal, el mismo que agrega al troyano a la lista de programas de relación de confianza:

%Temp%\[nombre_aleatorio].bat

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

luego termina los siguientes procesos relacionados a sistemas de seguridad:

• winzip.exe
• scanregw.exe
• update.exe
• mcvsrte.exe
• teatimer.exe
• kpf4gui.exe
• kpf4ss.exe
• wupdmgr.exe
• wuauclt.exe
• wuauclt1.exe
• symwsc.exe
• savscan.exe
• mrt.exe
• ad-watch.exe
• gcasserv.exe
• ccevtmgr.exe
• ccapp.exe
• nmain.exe
• navw32.exe
• gcasdtserv.exe
• mcupdate.exe
• mcshield.exe

permitiendo ejecutar remotamente los siguientes comandos:

• Descargar y ejecutar archivos con códigos malignos.
• Borrar archivos en las unidades del sistema.
• Capturar y enviar información del sistema.
• Borrarse a sí mismo.