Cambia la página de Inicio del Internet Explorer y se conecta a un sub-dominio googlepages.com desde donde ejecuta un Script maligno insertado en un archivo HTML.

Es un PE (Portable Ejecutable) infecta Windows 98/NT/2000/NT/Me/XP y Server 2003, está desarrollado en Visual C++ con una extensión de apenas 9.5KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Al ser ejecutado se copia al directorio %Windir% con los nombres de svchost32.exe o svhost.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Task Manager" = "%Windir%\svchost32.exe"

o alternativamente:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Svchost" = "%Windir%\svhost.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para modificarla configuración de Yahoo Instant Messenger crea las llaves:

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz 
"content url" = "http://antiry45.googlepages.com/index.html" 

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast] 
"content url" = "http://antiry45.googlepages.com/index.html" 

para deshabilitar el Editor de Registros crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
"DisableRegistryTools" = "dword:00000001"

para deshabilitar el Administrador de Tareas crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
"DisableRegistryTools" = "dword:00000001" 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
"DisableTaskMgr = "dword:00000001"

para cambiar la página de Inicio por defecto del Internet Explorer crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 
"Start Page" = "http://antiry45.googlepages.com/index.html"

para evitar la modificación manual de la página de inicio alterada, crea la llave:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] 
"Homepage" = "dword:00000001"

al siguiente inicio del equipo el gusano termina los procesos de los siguientes software de seguridad: 

• Anti-Trojan.exe
• ANTS.exe
• apvxdwin.exe
• ATCON.exe
• ATUPDATER.exe
• ATWATCH.exe
• AUPDATE.exe
• AUTODOWN.exe
• AUTOTRACE.exe
• AUTOUPDATE.exe
• Avconsol.exe
• AVP.exe
• AVP32.exe
• avpcc.exe
• avpm.exe
• AVPUPD.exe
• Avsynmgr.exe
• AVWUPD32.exe
• AVXQUAR.exe
• bdmcon.exe
• bdnews.exe
• bdoesrv.exe
• bdss.exe
• bkav2006.exe
• Bkav2006.exe
• CMGrdian.exe
• drwebupw.exe
• GUARD.exe
• iamapp.exe
• iamserv.exe
• ICLOAD95.exe
• ICLOADNT.exe
• ICMON.exe
• ICSSUPPNT.exe
• ICSUPP95.exe
• ICSUPPNT.exe
• LUCOMSERVER.exe
• MCAGENT.exe
• mcupdate.exe
• MINILOG.exe
• MOOLIVE.exe
• NAVAPW32.exe
• NMAIN.exe
• NPROTECT.exe
• NSCHED32.exe
• NUPGRADE.exe
• regedit.exe
• regedt32.exe
• rtvscan.exe
• RuLaunch.exe
• svhost32.exe
• Vshwin32.exe
• vsserv.exe
• VsStat.exe
• zatutor.exe
• zonealarm.exe

luego se propaga por el Yahoo Messenger enviando un mensaje a la lista de contactos del usuario, con un enlace a un archivo infectado. 

El mensaje aleatoriamente tiene una de los siguientes contenidos: 

• hix, may be this's my mistake, but the link you gave me was unavaiable when I visited it: 
  http://soccer4us.net/forums/cache/showthread.php?t=Storm
• plz check this link for me : 
  http://soccer4us.net/forums/cache/showthread.php?t=myblog . 
  Why I cannot surf this site ???
• can u tell me what he will do next ? 
  http://soccer4us.net/forums/cache/showthread.php?t=funny 
• the lastest picture of our upcoming Miss World 2006: 
  http://soccer4us.net/forums/cache/showthread.php?t=MissWorld !!