Jest to robak internetowy rozprzestrzeniający się poprzez Internet w postaci zainfekowanego pliku załączonego do wiadomości e-mail. Robak wysyła swoje kopie także poprzez kanały IRC. Szkodnik ma postać aplikacji Windows PE EXE o rozmiarze około 14 KB i został napisany w języku programowania Visual Basic. Wirus atakuje również serwery IIS i chroni się przed programami antywirusowymi.

Temat wysyłanych przez robaka wiadomości jest wybierany spośród następujących możliwości:

• If I were God and didn't belive in myself would it be blasphemy
• The A-Team VS KnightRider ... who would win ?
• Just one kiss, will make it better. just one kiss, and we will be alright.
• I can't help this longing, comfort me.
• And I miss you most of all, my darling ...
• ... When autumn leaves start to fall
• It's dark in here, you can feel it all around. The underground.
• I will always be with you sometimes black sometimes white ...
• .. and there's no need to be scared, you re always on my mind.
• You just take a giant step, one step higher.
• The air will hold you if you try, trust my wings of desire. Glory,
• Glorified.......
• The horizons lean forward, offering us space to place new steps of change.
• I like this calm, moments before the storm
• Darling, when did you fall..when was it over ?
• Will you meet me .... and we'll fly away ?!

Nazwa załąnonego pliku jest losowa i posiada jedno z następujących rozszerzeń: .SCR .COM .EXE .BAT .PIF. Przykładowo:

• 3tgf3tgf3tgf373774285313tgf.scr
• ffdasfffdasfffdasf145361008658ffdasf.com
• rewfdrewfdrewfd30741913208rewfd.scr

Treść wiadomości wybierana jest spośród czterech możliwości:

• Hey
  They say love is blind ... well, the attachment probably proves it.
  Pretty good either way though, isn't it ?

• You should like this, it could have been made for you speak to you later

• Happy Birthday
  Yeah ok, so it's not yours it's mine :)
  still cause for a celebration though, check out the details I attached

• This made me laugh
  Got some more stuff to tell you later but I can't stop right now so I'll email you later or give you a ring if thats ok ?!
  Speak to you later

Instalacja

Robak kopiuje się do katalogu systemowego Windows z nazwą KAREN.EXE i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Karen = \karen.exe

Rozprzestrzenianie poprzez e-mail

Wirus wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresoewej programu MS Outlook.

Rozprzestrzenianie poprzez kanały IRC

Robak nadpisuje plik C:\MIRC\SCRIPT.INI skryptem, który wysyła zarażony plik EXE wszystkim użytkownikom przyłączającym się do zainfekowanego kanału.

Infekowanie serwerów IIS

Robak nadpisuje własnym kodem plik C:\INETPUB\WWWROOT\DEFAULT.HTM i kopiuje się do katalogu C:\INETPUB\WWWROOT z nazwą WEB.EXE. Nowy plik DEFAULT.HTM zawiera łącze do pliku WEB.EXE.

Ochrona przed programami antywirusowymi

Podczas instalacji robak zatrzymuje działanie procesów, których nazwy znajdują się na poniższej liście:

• VSHWIN32.EXE
• PW32.EXE
• _avpm.exe
• avpm.exe
• ICLOAD95.EXE
• ICMON.EXE
• IOMon98.exe
• VetTray.exe
• Claw95.exe
• f-stopw.exe