Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic, con una extensión de 100 KB y no se encuentra comprimido. 

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book). 

El mensaje tiene las siguientes características:

Asunto: %nombre_ del_destinatario% mas un %texto_aleatorio% que puede ser alguna de las siguientes cadenas:

• NOW OUR MISSION: DEATH ?
• THE WAR HAS STARTED!
• THE WORLD WAR THREE IS HERE !
• REMEMBER OUR LOST SOULS !
• WORLD WAR SCENES FROM IRAQ !
• WORLD TRADE CENTER, REVENGE !

Contenido: %nombre_ del_destinatario%, THE WAR IS NOT A JOKE !... THERE IS ONE
BUILDING UP RIGHT NOW
Let's Unite In This Horrible Kaos. %Email address%... Fight For
Us....!!!
...And Let Us Remember Those Lost Souls ! WE COUNT ON YOU !
%nombre_ del_destinatario%
Greetings,
World War Veterans.

Anexado: WTC32.SCR, WTC32.DLL 

Al ser ejecutado el archivo infectado, el gusano se auto-copia en las siguientes rutas con los nombres:

• C:\Documents and Settings\All Users\Desktop\Welcome\Welcome.scr
• C:\Windows\WTC32.scr
• C:\Autorun.com
• C:\NT-Help.com
• C:\Op_Me.co_

Luego libera y ejecuta en el directorio raíz de nombre AUTOSTART.BAT, el cual al ser activado libera las siguientes copias de sí mismo:

• C:\suPs\YYYBP.BAT
• C:\Autorun.bak
• C:\Windows\Startm~1\Programs\StartUp\CNIAD.BAT
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\NTFS.BAT

De igual modo genera un archivo de nombre WTC.TXT, el cual contiene el siguiente texto:

Para ejecutarse la próxima vez que se re-inicie el sistema, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"W32TC" = "%Windir%\WTC32.SCR"

También altera varias llaves de registro del sistema:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"ProductName" = "W32.HLLW.I-Worm.WTC.03"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOrganization" = "WORLD TRADE CENTER"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner" = "YOU ARE A VICTIM OF THE"

Para auto-ejecutarse cada vez que el usuario se conecta al Internet Explorer, el gusano modifica la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "%Windir%\WTC32.SCR"

Para activarse al reiniciarse en Windows 95/98/Me el componente del gusano BAT_VOTE.K sobre-escribe el WIN.INI el directorio %Windir%:

[windows]
load=C:\Windows\System\WINI.bat
run=C:\Windows\System\WINI.bat
NullPort = None

Igualmente sobre-escribe el SYSTEM.INI con las siguientes cadenas:

[boot]
shell=explorer.exe C:\Windows\pbbgt.bat

Este proceso es realizado una sola vez y luego el archivo PBBGT.BAT es auto-eliminado.

El gusano busca en todas las unidades de disco del sistema infectado los archivos con extensión .EXE y los sobre-escribe con su código viral, dejándolos truncos.

Borra los archivos con las siguientes extensiones:

• WAV
• MP3
• JPG
• BMP
• ZIP
• RAR
• MPG

El gusano también busca los archivos con extensión .HTML y los reemplaza con con otro archivo HTML que contiene el siguiente mensaje:

Si se hace click en este enlace el gusano libera y auto-ejecuta una copia de sí mismo en el directorio raíz:

C:\NT-HELP.COM

Y procede a borrar los archivos con las siguientes extensiones:

• AI
• PSD
• RTF
• PIF
• TXT
• DOC

Finalmente libera un archivo .HTML infectado, que copia con el nombre de los archivos borrados agregándoles una segunda extensión .HTM.

Para difundirse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con el archivo Op_me_co en la carpetas C:\mIRC y C:\Archivos de programa\mIRC, el cual se auto-envía automáticamente a todos los usuarios que se encuentren conectados en una misma sesión de chat, con un efecto multiplicador. 

Para infectar vía Kazaa, el gusano se auto-copia a la carpeta %System% con los siguientes nombres:

• 18_Britney_Sucking_Sex.scr
• Teen_Pussy_Hardcore_Sex.scr
• XXX_Christina_Celebrities_Pamela_Sex_Screensaver.scr
• XXX_Teens_Hot_Gauge_Aria_Jennifer_Sex_Screensaver.scr
• Fucking_Hot_Horny_Screensaver.scr
• Orgy_Incest_Illegal_Sex.scr

Y para compartir estos archivos genera las siguientes llaves:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"DisableSharing " = 0

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"DownloadDir" = "C:\Archivos de programa\KaZaA\My Shared Folder"

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"Dir0" = "012345:C:\Windows\Systm32"

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"Dir1" = "012345:C:\"

Dentro del código del gusano se puede visualizar el siguiente texto:

Sus payloads son los siguientes:

• Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook y la Libreta Global de Windows.
• También se transmite vía los canales de Chat del IRC y la red de archivos compartidos Kazaa. 
• El gusano se activa cada vez que el usuario accede al Internet Explorer.
• Al ser activado muestra varias cajas de diálogo.
• Modifica el SCRIPT.INI del software mIRC e infecta a los usuarios de una misma sesión de Chat.
• Borra archivos de diversas extensiones.
• Reemplaza y truca los archivos con extensión HTML.
• Agrega una segunda extensión .HTM a los archivos borrados.
• Reemplaza los archivos .EXE de todas las unidades de disco con su código viral, dejándolos truncos.
• Deja inoperativo al sistema, el cual deberá ser re-instalado.

PER ANTIVIRUS® versión 8.2 con registro de virus al 11 de Septiembre del 2003 detecta y elimina eficientemente este gusano.