Jest to modyfikacja robaka internetowego Plexus.a. Rozprzestrzenia się jako załącznik zainfekowanych wiadomości e-mail, poprzez sieci lokalne oraz P2P, a także za pośrednictwem luki w usłudze LSASS systemów Windows. Powstał przy użyciu środowiska programistycznego MS Visual C++, a jego rozmiar to 69 632 bajtów.

Instalacja

Po uruchomieniu robak tworzy następujące pliki:

• Windows\System32\upu.exe
• Windows\System32\setupex.exe
• Windows\svchost.exe

Setupex.exe zawiera konia trojańskiego TrojanProxy.Win32.Webber.h. Trojan ten powstał przy użyciu środowiska programistycznego Microsoft Visual C++, a jego rozmiar to 47 779 bajtów. W pliku svchost.exe znajduje się główny moduł robaka. Powstał przy użyciu środowiska programistycznego MS Visual C++, a jego rozmiar to 16 224 bajtów (kompresja FSG, rozmiar po rozpakowaniu - 57 857 bajtów). W kodzie modułu zapisany jest tekst:

-== KAV I'm Expletus !!!. Made in China. ==-

Szkodnik tworzy w rejestrze systemowym poniższy klucz auto-run:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
InternetServ=ścieżka dostępu do pliku wykonywalnego

W celu oznaczenia zainfekowanego komputera szkodnik tworzy unikatowy identyfikator Expletus.b.

Rozprzestrzenianie - sieci lokalne oraz P2P

Robak kopiuje się z następującymi nazwami do folderów współdzielonych przez aplikacje służące do wymiany plików oraz do wszystkich dostępnych zasobów sieciowych:

AVP5.xcrack.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
ICQ04noimageCrk.exe
UnNukeit9xNT.exe
YahooDBMails.exe
hx00def.exe
ICQBomber.exe

Pozostałe funkcje robaka działają identycznie, jak w przypadku poprzednika - I-Worm.Plexus.a.