El gusano crea la siguiente entrada de registro:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"%System%\drivers\svchost" =
"%System%\drivers\svchost:*:Enabled:@xpsp2res.dll,-22001"
Además, el gusano crea el siguiente servicio:
Service name:
%Windir%\INETINFO.EXE
Display name: InetInfo
Startup Type: Automatic
Luego el gusano trata de
detener los siguientes
procesos:
- regedit
- rundll32
- mmc
También trata de eliminar los archivos asociados a estos procesos:
- %windir%\regedit.exe
- %windir%\System32\rundll32.exe
- %windir%\System32\mmc.exe
Nota:
- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).
Seguidamente el gusano apertura una conexión de red de escucha sobre el puerto TCP 3310 para tratar de obtener direcciones IP almacenandolas en:
- %windir%\scanip.txt
Nota:
- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).
El gusano apertura otra conexión de red de escucha sobre el puerto TCP 3311 para las direcciones IP contenidas en la lista de del archivo scanip.txt para detectar unidades vulnerables de infección.
Finalmente el gusano apertura una puerta trasera (Backdoor) a la espera de comandos remotos que permiten accesos no autorizados para realizar las siguientes acciones:
- Cerrar conexiones.
- Apagar o cerrar la sesión de usuario.
- Salir de Windows.
- Obtener y enviar información confidencial.
- Modificar la clase HKEY_CLASSES_ROOT\.exe para ejecutar archivos o aplicaciones.
- Descargar, enviar, eliminar y ejecutar archivos.