Jest to robak rozprzestrzeniający się poprzez Internet w postaci plików załączonych do wiadomości e-mail oraz infekujący sieci lokalne. Wirus został napisany w środowisku programistycznym Delphi i ma postać pliku EXE o rozmiarze około 202 KB.

Zainfekowane wiadomości wyglądają następująco:

Temat: Sites Pornos

Treść:

Tudo bem to te enviando uma lista dos melhores sites pornos da uma olhada depois me avisa c voce gostou até mais um Abraçăo Do seu melhor amigo ;-)

Załączony plik: SitesDeSexo.doc.exe

Robak uaktywnia się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.

Instalacja

Podczas instalowania się w systemie robak kopiuje się do katalogu systemowego Windows z nazwą "VxBrasil.exe" i rejestruje tę kopię w pliku WIN.INI:

[windows]
run=%SystemDir%\VxBrasil.exe

gdzie %SystemDir% jest nazwą katalogu systemowego Windows.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak korzysta z funkcji MAPI i "odpowiada" na wszystkie wiadomości zapisane w skrzynkach pocztowych.

Sieć lokalna

Robak skanuje zasoby sieciowe w poszukiwaniu pliku WIN.INI. Jeżeli sieciowy dysk zawierający ten plik zostanie znaleziony robak kopiuje się na niego z nazwą "666hacked.exe" i rejestruje swoją kopię w pliku WIN.INI.

Funkcje dodatkowe

Robak instaluje w zainfekowanym systemie konia trojańskiego "Backdoor.DRA". W tym celu rozpakowuje go z własnego kodu, zapisuje na dysku w katalogach C:\ALEVIRUS.EXE oraz C:\BACK.EXE i uruchamia.

Szkodnik tworzy również na dysku plik C:\SitesDeSexo.doc, zapisuje w nim tekst:

Estes săo os melhores sites de SEXO da internet confira :)

oraz listę stron WWW zawierających materiały pornograficzne i otwiera utworzony plik.