W32/Zafi.D@mm, W32/Erkez.D@mm, I.worm.zafi.D@mm

Dependiendo del dominio del receptor usará un determinado lenguaje: por ejemplo a los de extensión COM, NET, ORG, se auto-enviarán en inglés, DE lo hará en alemán, ES y MX en español, IT en italiano, etc.

Dentro de su código se encuentran las siguientes extensiones de dominio:

hu .sp .ru .dk .ro .se .no .fi .lt .pl .pt .de .nl .cz .fr .it .mx .at .es

También se difunde vía las redes Peer to Peer que se encuentren instaladas, termina los procesos de varios antivirus y del sistema operativo, abre el puerto TCP 8181 permitiendo al atacante enviar un archivo Backdoor. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con 11.5 KB de extensión y comprimido con el utilitario FSG:

http://www.exetools.com

Anexado, puede ser uno de los siguientes:

• atviruka

• cartoline

• ecarte

• ekort

• karacsony

• kartki

• kerstdagen

• link.postcard.Christmas..index.htm1172.bat

• navidad

• pohlednice

• postcard.index.php1111.pif

• postikorti

• postkort

• vykort

• weihnachten

Con cualquiera de las extensiones:

• bat

• cmd

• com

• pif

• zip

Usando su propio SMTP (Simple Mail Transfer Protocol) se envía a los buzones de la Libreta de Direcciones de Windows (WAB) o las contenidas en los archivos que tengan estas extensiones:

• htm
• wab
• txt
• dbx
• tbb
• asp
• php
• sht
• adb
• mbx
• eml
• pmr
• fpt
• inb

Tiene una rutina que omite aquellas que tengan las siguientes cadenas:

• yaho
• google
• win
• use
• info
• help
• admi
• webm
• micro
• msn
• hotm
• suppor
• syman
• viru
• trend
• secur
• panda
• cafee
• sopho
• kasper

Al ser activado muestra la siguiente falsa caja de diálogo:

si se hace click en "OK" el gusano se auto-copia a las siguientes rutas con los nombres:

• %System%\Norton Update.exe
• C:\s.cm

genera múltiples copias de sí mismo en la carpeta %System% con nombres de archivos aleatorios compuestos de 8 caracteres ASCII y la extensión .DLL

Para evitar ejecutarse más de una vez en los sistemas infectados crea un mutex de nombre "Wxp4" y para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Wxp4" = "%System%\Norton Update.exe"

y para almacenar información sobre las infecciones del gusano crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio termina los procesos de algunos antivirus, para lo cual busca los archivos con extensión .EXE que contengan las siguientes cadenas:

• syman
• viru
• trend
• secur
• panda
• cafee
• sopho
• kasper

Para propagarse a través de las redes Peer to Peer se copia a aquellas carpetas que contengan la cadenas de texto "share", "upload" y "music" con los siguientes archivos:

• Winamp 5.7 new!.exe
• ICQ 2005a new!.exe

para dificultar su eliminación manual termina la ejecución de los procesos que tengan las cadenas: 

• reged
• msconfig
• task