Der Wurm setzt eine eigene Mail-Routine ein, fälscht die Absenderangaben und versendet sich an Adressen, die er auf einem infizierten Rechner findet. Die Mails können beispielsweise einen Betreff wie "Holen sie jetzt ihre WM Tickets ab!" oder "Holen sie sich WM Tickets fuer das Finalle JETZT" tragen. Im Anhang ist eine ZIP- oder RAR-Datei mit recht unterschiedlichen Namen und etwa 40 KB groß. Das Passwort zum Entpacken steht in der Mail. Er nutzt neben Mails auch eine als "ASN.1"-Lücke bekannte Schwachstelle in Windows aus, um sich zu verbreiten. Die als Anhang versandte Archiv-Datei enthält eine EXE-Datei mit doppelter Dateiendung, die durch etliche Leerzeichen verschleiert werden soll. Wird sie gestartet, legt der Schädling eine Datei "mszsrn32.dll" im System-Verzeichnis von Windows ab und injiziert deren Code in den laufenden Prozess von "winlogon.exe". Er öffnet auf einem scheinbar zufällig gewählten Port eine Hintertür ins System und nimmt über HTTP und ein PHP-Script Kontakt mit diversen Servern auf. (www.pcwelt.de)