Denne orm kan være faldet med andre malware. Det kan ankomme via nettet aktier. Det kan downloades ubevidst af en bruger, når man besøger ondsindede websteder.
Det dråber kopier af sig selv.
Det registrerer sig selv som et system service for at sikre dens automatiske gennemførelse på hvert system opstart. Det sker ved at skabe registreringsdatabasenøgler / poster. Det ændrer registreringsdatabasen for at aktivere sin automatiske gennemførelse på hvert system opstart.
Det deaktiverer DCOM protokollen. Det begrænser anonym adgang til de berørte system. Det deaktiverer Security Center funktioner. Det deaktiverer Windows Firewall-indstillinger. Det deaktiverer Jobliste. Det gør de nævnte rutinemæssige at undgå opsigelse fra det berørte system hukommelse. Det forkorter den tid, systemet venter på tjenester til at stoppe før lukke ned. Det ændrer registreringsdatabasen for at deaktivere den automatiske opdatering til Service Pack 2 på systemer, der kører Windows XP. Det ændrer registreringsdatabasen for at deaktivere specifikke tjenester. Det skaber registreringsdatabaseposter deaktivere administrative aktier. Det skaber registreringsdatabasenøgle (r) / post (er) som en del af sin installation rutine.
Det søgninger nettet for visse aktier, som det forsøger at slippe kopier af sig selv.
Det benytter sig af software-sårbarheder til at udbrede tværs af net.

Det åbner tilfældige porte for at oprette forbindelse til en Internet Relay Chat (IRC) server, hvor det slutter sig til en IRC-kanal. Når det etablerer en forbindelse, det virker som en bagdør, som muliggør en fjern ondsindet bruger at udstede flere kommandoer, som det udfører lokalt på et berørt system.
Det er i stand til oplysninger tyveri. Det bruger et netværk sniffer til at gå gennem netværkstrafik i søgning af visse strenge. Det udtraeder visse processer, hvis det findes der kører i hukommelsen.


Mere ...