このワームが実行されると、ワームは自分自身のコピーを次のファイルで作成します。

%SysDir%\sysinfo.exe

ここで、%SysDir% は、Windowsのシステムフォルダです。

このワームは、次のレジストリキーを作成して、システムの再起動時に活動を開始できるようにします。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" sysinfo.exe" = "%SysDir%\sysinfo.exe"

さらに、このワームは、次のレジストリにいくつかの値を作成します。

HKEY_CURRENT_USER\SOFTWARE\Windows2005

このワームは、感染したコンピュータにバックドアを仕掛けて、TCP4751番ポートを開きます。これはリモートから任意のプログラムを実行できることを可能にします。

このワームは、Dredr.exe があれば、それを実行することを試みます。

このワームは、感染したことをあるWebサーバーに接続して通知します。

このワームは拡散を広げるために、すべてのローカルドライブを検索して、次の拡張子をもつファイルからメールアドレスを取得します。

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

このワームが送信する電子メールは、以下のようになります。

題名：[無し]
本文：[無し]
添付ファイル：game.exe

ただし、メールアドレスに次の文字列が含まれる場合は、このワームは自分自身を送信しません。

@avp
@microsoft

このワームはシステムの日付が2005年1月1日以降であるとき、その活動を停止します。

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.698にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。