Jest to robak internetowy rozprzestrzeniający się za pośrednictwem poczty elektronicznej. Powstał przy użyciu środowiska programistycznego Visual C++ i ma postać pliku PE EXE o rozmiarze około 60 KB (kompresja UPC, rozmiar po rozpakowaniu - około 478 KB).

Lentin.v zakłóca funkcjonowanie programów antywirusowych oraz przeprowadza ataki DoS na kilku adresach IP. Dodatkowo szkodnik modyfikuje pliki Hosts oraz Lmhosts znajdujące się w folderze Windows. W rezultacie użytkownik zainfekowanego komputera nie może otwierać następujących stron WWW:

• www.symantec.com;
• www.microsoft.com;
• www.sophos.com;
• www.avp.ch;
• www.mcafee.com;
• www.trendmicro.com;
• www.pandasoftware.com;
• www3.ca.com;
• www.ca.com.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje własny serwer SMTP. Szkodnik wykorzystuje także dodatkowe drogi atakowania komputerów - współdzielone zasoby sieciowe oraz sieć wymiany plików KaZaA.

Załączniki zawierające kod robaka mogą posiadać następujące rozszerzenia:

• COM,
• EXE,
• ZIP.

Zainfekowane wiadomości e-mail posiadają losowe tematy i treści.

Szkodnik wysyła swoje pod adresy znalezione w następujących źródłach:

• książka adresowa Windows,
• MSN Messenger,
• NET Messenger,
• Yahoo Pager.

Instalacja

Infekcja komputera następuje gdy użytkownik uruchomi zainfekowany załącznik. Robak kopiuje się do folderu Windows z następującymi nazwami:

• MSUPDAT.EXE,
• MSEXEC.EXE.

Ponadto szkodnik dodaje modyfikuje następujące klucze auto-run rejestru systemowego:

• HKEY_LOCAL_MACHINE\SOFTWARE\
  Microsoft\Windows\CurrentVersion\Run\;
• HKEY_LOCAL_MACHINE\SOFTWARE\
  Microsoft\Windows\CurrentVersion\RunServices.

W rezultacie wraz z każdym startem systemu operacyjnego uruchamiany będzie plik wykonywalny robaka - msesec.exe.