Il worm si diffonde via posta elettronica utilizzando un proprio motore SMTP.

E' un  mass-mailing worm che si autoinvia a tutti gli indirizzi di posta elettronica che trova all’interno della macchina attaccata aventi le seguenti estensioni:

• DBX
• HLP
• MHT
• WAB
• HTML

I messaggi infetti hanno le seguenti caratteristiche:

Indirizzo del mittente: è casuale e viene scelto tra gli indirizzi delle macchine infette, ma il mittente in realtà è un'altro.

Oggetto: è casuale e scelto tra uno di quelli presenti nella lista:

Re: Thank you!
Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

Corpo messaggio: (normalmente uno di questi)

See the attached file for details.
Please see the attached file for details.

Allegato: il nome del file infetto in allegato alle e-mail può essere uno dei seguenti:

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

Come dicevamo, il  worm invia agli indirizzi trovati  un messaggio con un allegato che contiene una copia di se stesso. All'apertura dell'allegato il worm si avvia.
Dopo essersi avviato crea una copia del file WINPPR32.EXE nella directory di Windows (es. C:\WINDOWS\WINPPR32.EXE) creando – sempre nella directory di Windows – un file di configurazione WINSTT32.DAT (es. C:\WINDOWS\WINSTT32.DAT) e si predispone per essere attivato ad ogni riavvio del sistema inserendo nel registro di configurazione le seguenti istruzioni:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\TrayX = "%Windows%\winppr32.exe /sinc"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\TrayX = "%Windows%\winppr32.exe /sinc"

(dove %Windows% è la directory di Windows)

ISTRUZIONI PER LA RIMOZIONE MANUALE DEL WORM :
Attenzione: tali istruzioni vanno effettuate solo da parte di chi HA ESPERIENZA nell'utilizzo del persona computer. Ricordiamo che le operazioni svolte non correttamente nel registro di configurazione, possono determinare problemi irreparabili al sistema operativo con conseguente instabilità o blocco della macchina. Se non si è esperti  è consigliabile l'utilizzo di un tool di rimozione automatica.

AVVIO DEL COMPUTER

• Windows versioni 95, 98 e ME:
  riavviare il computer in modalità protetta, avendo cura di premere il tasto F8 non appena il testo di avvio di Windows viene visualizzato sul monitor. 
• Windows nelle versioni NT, 2000 e XP :
  premere contemporaneamente i tasti CTRL, ALT e DEL in modo da richiamare al centro dello schermo una finestra dedicata alla protezione di Windows; fare clic con il mouse sul pulsante Task Manager > selezionare Processi , scorrere l’elenco dei programmi in esecuzione, posizionare il cursore o il mouse su WINPPR32.EXE > fare clic su Termina processo.

ELIMINAZIONE DEI FILE DALLA DIRECTORY DI WINDOWS
Cancellare dala directory di Windows (normalmente C:\WINDOWS oppure C:\WINNT) i file WINPPR32.EXE e WINSTT32.DAT.

PULIZIA DEL FILE DI REGISTRO
Cancellare il valore TrayX da:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run 

HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run 


Ricordiamo di prestare sempre la massima cautela nell'aprire file allegati alle e-mail della cui origine non si sia certi e di esercitare la massima prudenza anche in presenza di  allegati provenienti da conoscenti, ma che non erano attesi.