Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanej wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 6 KB (kompresja UPX, po rozpakowaniu około 15 KB) i powstał przy użyciu języka programowania Visual Basic.

Szkodnk aktywuje się z zainfekowanej wiadomości e-mail tylko wtedy, gdy użytkownik uruchomi załącznik. Prawdziwe rozszerzenie robaka (EXE) jest ukryte pod postacią JPG.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą "csrss.EXE" i tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemSARS32 = %Folder Windows%\csrss.EXE

Rozprzestrzenianie

Robak wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook. Wiadomości te wyglądają następująco:

Temat: Alert! SARS Is being Spread!
Treść: Hi!, This is a beta test SARS. Please check an attachment!
Nazwa załącznika: sars_image.jpg

Funkcja dodatkowa

1, 4, 8, 12, 16, 20, 24 oraz 28 dnia każdego miesiąca robak usuwa wszystkie pliki DLL, NLS oraz OCX zapisane w bieżącym folderze (w większości przypadków jest to folder Windows).