当ワームはUPXで圧縮されており、ファイルのサイズは176,640バイトまたは186,368バイトです。
当ワームは重複して実行されることを防ぐため次のようなミューテックスを作成します。

JOHANA-088FA840-B10D-11D3-BC36-XXXXXXXXXXXX

次に当ワームはWindowsシステムフォルダに次のようなファイル名でワームのコピーを作成します。

wmiprvse.exe

* Windowsシステムフォルダは標準では、C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)またはC:\Windows\System32(Windows XP)です。

ランダムなIPをスキャンした後、次のようなパスワードで対象のコンピュータのIPCネットワーク共有フォルダに接続しようと試みます。
それによりCPU使用率が増加したり、ネットワークトラフィックが発生したりする可能性があります。

curry
Login
mypass
pass
passwd
pwd
root

当ワームは次のような特定のアンチウイルスソフト等のセキュリティソフトや特定のプロセスを強制終了させようと試みます。

tftpd.exe
dllhost.exe
winppr32.exe
mspatch.exe
penis32.exe
msblast.exe
vshwin32.exe
vsstat.exe
avsynmgr.exe
svhost32.exe
teekids.exe
wins.exe
wmi.exe
wmi.EXE
firedaemon.exe
bgdw.exe
dfbfd.exe
musirc4.71.exe
vdars.exe
msbb.exe
hpsvc.exe
hpsvc.exe
msmsgri32.exe
msmonk32.exe
mssvc32.EXE
update.exe
regedit32.exe
netstat.exe
mssmmc32.exe
msinfo32.exe
msconfig.exe

Windowsの起動時にワームが自動的に実行されるように、次のようにレジストリを書き換えます。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Kernel_check = wmiprvse.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Kernel_check = wmiprvse.exe