Po raz kolejny wirus atakuje sieć wymiany plików KaZaA - Worm.P2P.Duload.
Robak jest plikiem wykonywalnym systemu Windows (PE EXE) napisanym w języku Visual Basic. Obecnie znane są dwie jego modyfikacje:
- Worm.P2P.Duload.a - rozmiar 18432 bajtów
- Worm.P2P.Duload.b - rozmiar 7680 bajtów (skompresowany narzedziem UPX)
Jeżeli program zostanie uruchomiony "Duload" kopiuje się do katalogu systemowego Windows pod nazwą "SystemConfig.exe" i modyfikuje wpisy w rejestrze by zapewnić sobie aktywację podczas każdego uruchomienia systemu Windows. Następnie robak tworzy w katalogu Windows folder "Media" i umieszcza w nim 39 swoich kopii o różnych nazwach takich jak:
- Pamela Anderson And Tommy Lee Home Video.exe
- Alicia Silverstone Payboy Nude.exe
- Kama Sutra Tetris.exe
- Soldier Of Fortune 2 Mutiplayer Serial Hack.exe
- The Sims Game Crack.exe
- Warcraft 3 Battle.net Crack.exe
"Duload" modyfikuje również wpisy w rejestrze by udostępnić stworzony folder "Media" dla użytkowników sieci KaZaA. Jedna z modyfikacji robaka (Worm.P2P.Duload.a) pobiera również z serwera internetowego kilka koni trojańskich pozwalających na zdalne zarządzanie zainfekowaną maszyną.
Ochrona przed robakiem "Duload" została już dodana do antywirusowych baz danych programu Kaspersky Anti-Virus.