当ワームはUPXで圧縮されています。
感染したコンピュータのコンピュータ名にrootという文字列を追加し、ランダムな名前のMUTEXを作成します。

当ワームはWindowsフォルダに次のようなファイル名でワームのコピーを作成します。

java.exe
services.exe

* Windowsフォルダは標準では、
C:\Windows (Windows 95/98/Me/XP)
またはC:\Winnt (Windows NT/2000)です。

Windowsテンポラリフォルダに次のようなファイル名でワームのコピーを作成します。

services.exe

* Windowsテンポラリフォルダは標準では、
C:\Windows\Temp (Windows 95/98/Me/XP)
またはC:\Winnt\Temp (Windows NT/2000)です。

Windows起動時に自動的にワームが実行されるように、次のようにレジストリを書き換えます。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
JavaVM = Windowsフォルダ\java.exe
Services = Windowsフォルダ\services.exe

当ワームはログを残すために、Zincite.logもしくはランダムなファイル名でWindowsテンポラリフォルダにデータファイルを作成します。

* Windowsテンポラリフォルダは標準では、
C:\Windows\Temp (Windows 95/98/Me/XP)
またはC:\Winnt\Temp (Windows NT/2000)です。

当ワームはバックドアの機能があり、感染したコンピュータでTCP1034 ポートを開きます。
悪意のあるユーザは感染したコンピュータにリモートからアクセスできるようになります。

当ワームは感染したコンピュータで次のような拡張子を持つファイルからメールアドレスを収集します。

.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab

収集したメールアドレスのドメイン名を次のようなサーチページで確認します。

http://search.lycos.com
http://www.altavista.com
http://search.yahoo.com
http://www.google.com

次のような文字列を含むメールアドレスに対しては、メールの送信を行いません。

arin.
avp
bar.
domain
example
foo.com
gmail
gnu.
google
hotmail
microsoft
msdn.
msn.
panda
rarsoft
ripe.
sarc.
seclist
secur
sf.net
sophos
sourceforge
spersk
syma
trend
update
uslis
winrar
winzip
yahoo
anyone
ca
feste
foo
gold-certs
help
info
me
no
nobody
noone
not
nothing
page
rating
root
site
soft
someone
the.bat
you
your
admin
support
ntivi
submit
listserv
bugs
secur
privacycertific
accoun
sample
master
abuse
spam
mailer-d

独自のSMTPを利用してワームのコピーを添付した電子メールを収集したメールアドレスに対して送信し感染を試みます。
当ワームの送信するメールには、次のような特徴があります。

差出人：感染したコンピュータで収集したメールアドレスに偽装します

件名：次の中からランダムに選択されます

say helo to my litl friend
click me baby, one more time
hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error

本文：本文は複数のフォーマットで作成され、一定ではありません

Dear user {<宛先のメールアドレス>|of <宛先のドメイン名>},{ {{M|m}ail {system|server} administrator|administration} of <宛先のドメイン名> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{<宛先のドメイン名> {user |technical |}support team.|The <宛先のドメイン名> {support |}team.}

{The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was
{not |un}reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.

Your message {was not|could not be} delivered within <ランダムな数字> days:
{{{Mail s|S}erver}|Host} <メールサーバ名l>} is not responding.
The following recipients {did|could} not receive this message:
<<宛先のメールアドレス>>
Please reply to postmaster@{<差出人のメールアドレス>|<宛先のドメイン名>}
if you feel this message to be in error.
The original message was received at [現時間]{
| }from {<差出人のドメイン名> ]|{<メールサーバ名>]|]}}
----- The following addresses had permanent fatal errors -----
{<<宛先のメールアドレス>>|<宛先のメールアドレス>}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{<宛先のドメイン名>.|<メールサーバ名>]}:
{>>> MAIL F{rom|ROM}:[From address of mail]
<<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <>... {Mail quota exceeded|Message is too large}
554 <<宛先のメールアドレス>>... Service unavailable|550 5.1.2 <<宛先のメールアドレス>>... Host unknown (サーバ名: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|>>> RCPT To:<<宛先のメールアドレス>>
<<< 550 {MAILBOX NOT FOUND|5.1.1 <<宛先のメールアドレス>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
{<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
|}<<< 400}|}
The original message was included as attachment

{{The|Your} m|M}essage could not be delivered

添付ファイル名：次の中からランダムに選択されます

readme
instruction
transcript
mail
letter
file
text
attachment
document
message

添付ファイルの拡張子：次の中からランダムに選択されます

cmd
bat
com
exe
pif
scr
zip

当ワームが添付するファイルは2つの拡張子をもつ可能性があります。
2つの拡張子がつく場合、2つ目の拡張子は次の中のいずれかになります。

doc
txt
htm
html