Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz w systemie wymiany plików KaZaA. Ma postać pliku PE EXE o rozmiarze około 13 KB (kompresor FSG). Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Podczas instalacji robak kopiuje się do folderu systemowego Windows z nazwą "winupdate.exe" i tworzy w rejestrze systemowym klucze auto-run:

• HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\
  RunOnce Microsoft auto update = winupdate.exe
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Run Microsoft auto update = winupdate.exe

Dodatkowo szkodnik tworzy w rejestrze klucz służący do przechowywania jego własnych danych:

• HKLM\SOFTWARE\Microsoft\WDXDriver
  stv1=
  stv2=
  stv3=
  stv4=
  xdvd=

Następnie na ekranie wyświetlany jest następujący komunikat:

Application Error
The instruction at |0x776456de| referenced memory at |0x623525dg3|. The memory could not be |read|
Click on OK to terminate the application

Rozprzestrzenianie - poczta elektroniczna

Zainfekowane wiadomości wyglądają następująco:

Temat: Hi, I sent you an eCard from BlueMountain.com

Treść:

If you have any comments or questions, please visit
http://www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.

Nazwa załącznika: BlueMountaineCard.pif

Robak aktywuje się z zainfekowanej wiadomości e-mail tylko wtedy, gdy użytkownik uruchomi jej załącznik.

Rozprzestrzenianie - system KaZaA

Robak tworzy w folderze systemowym Windows folder "Kazaa" i umieszcza w nim swoje kopie z następującymi nazwami:

• "SMS_sender.exe"
• "DivX 5.03 Codecs.exe"
• "Download accelarator.exe"
• "PaintShop Pro 7 Crack_By_Force.exe"
• "ZoneAlarm Pro KeyGen.exe"

Następnie folder "Kazaa" jest rejestrowany jako współdzielony zasób systemu KaZaA.

Procedura backdoor

Robak wyposażony jest w procedurę backdoor, która łączy się z kanałem IRC i oczekuje na jedno z poniższych poleceń hakera:

• wysyłanie raportu o zainfekowanym systemie;
• pobieranie pliku z internetu;
• uruchamianie wskazanego pliku.