当ワームは、感染したコンピュータにshare、upload、music という文字列を含むファイル名が存在する場合、次のようなファイル名でワームのコピーを作成します。

winamp 5.7 new!.exe
ICQ 2005a new!.exe

当ワームは感染したコンピュータにて、次のようなメッセージボックスを表示します。

タイトル：CRC: 04F7Bh
メッセージ：Error in packed file!

また、次のようにファイルを作成します。

Windowsシステムフォルダ\NORTON UPDATE.EXE：ワームのコピー
Windowsシステムフォルダ\＜8文字のランダムな文字列＞.DLL：ワームのコピー、もしくはメールのログファイル
C:\S.CM:ログファイル

Windowsシステムフォルダは標準では、
C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)または
C:\Windows\System32 (Windows XP)です。

Windows起動時に自動的にワームが実行されるように、次のようにレジストリを書き換えます。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Wxp4 = Windowsシステムフォルダ\Norton Update.exe

Windowsシステムフォルダは標準では、
C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)または
C:\Windows\System32 (Windows XP)です。

当ワームは感染したコンピュータにある次のような拡張子をもつファイルからメールアドレスを収集します。

ADB
ASP
DBX
EML
FPT
HTM
INB
MBX
PHP
PMR
SHT
TBB
TXT
WAB

次のような文字列を含むメールアドレスには送信を行いません。

admi
cafee
google
help
hotm
info
kasper
micro
msn
panda
secur
sopho
suppor
syman
trend
use
viru
webm
win
yaho

当ワームは感染したコンピュータで収集したメールアドレスへ独自のSMTPエンジンを利用して次のようなメールを送信します。

差出人：感染したコンピュータ名とログオン中のユーザ名を使用し、偽装します。

件名：次の中からランダムに選択されます

Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!

本文：次の中からランダムに選択されます

Happy HollyDays!
:) [Sender]

Kellemes Unnepeket!
:) [Sender]

Feliz Navidad!
:) [Sender]

:) [Sender]

Glaedelig Jul!
:) [Sender]

God Jul!
:) [Sender]

God Jul!
:) [Sender]

Iloista Joulua!
:) [Sender]

Naulieji Metai!
:) [Sender]

Wesolych Swiat!
:) [Sender]

Frohliche Weihnachten!
:) [Sender]

Prettige Kerstdagen!
:) [Sender]

Vesele Vanoce!
:) [Sender]

Joyeux Noel!
:) [Sender]

Buon Natale!
:) [Sender]

添付ファイル名：次の中からランダムに選択されます

atviruka
cartoline
ecarte
ekort
karacsony
kartki
kerstdagen
link.postcard.Christmas..index.htm1172.bat
navidad
pohlednice
postcard.index.php1111.pif
postikorti
postkort
vykort
weihnachten

添付ファイルの拡張子：次の中からランダムに選択されます

.bat
.cmd
.com
.pif
.zip

当ワームは次のようにレジストリを書き換えます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Wxp4
rD
t2
rC
t3
t4
t5
t6
t7
t8
t9
tA
tB
tC
tD
tE
tZ
lA
lB
lC
lD
lE
lF
lG
lH
br
lJ
lK
lL
mA
mB
mC
mD
mE
mF
mG
mH
mI
mJ
mK
mL
mM

当ワームは次のようなプロセスを終了しようと試みます。

reged
msconfig
task

Dos攻撃を行うため、次のWebサイトに接続しようと試みます。

microsoft.com

当ワームは感染したコンピュータでTCP8181 ポートを開いて悪意のあるユーザのリモートからのアクセスを待ちます。

ウイルスチェイサーでの検出及び駆除が可能です。
ウイルスチェイサーのアップデートを実行し、ウイルスチェイサーを最新の状態へアップデートして下さい。
メモリ＆ブートセクタ検査を実行しワームが検出されましたら駆除して下さい。
すべてのファイルに対しウイルス検査を実行し、ワームとして検出されたファイルをすべて削除して下さい。
ワームによって変更されたレジストリを修正して下さい。
レジストリエディタは、画面左下にある「スタート」ボタンをクリックし、「ファイル名を指定して実行」を選択し、表示された画面に"regedit"と入力後、「OK」をクリックしますと起動します。