当ワームは感染したコンピュータで重複して実行されないように、次のようなミューテックスを作成します。

wintbp

当ワームが実行されると、Windowsシステムフォルダに次のようなファイル名でワームのコピーを作成します。

wintbp.exe (10,366バイト)

* Windowsシステムフォルダは標準では、
C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)または
C:\Windows\System32 (Windows XP)です。

Windows起動時に自動的にワームが実行されるように、次のようにレジストリを書き換えます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Wintbp = Windowsシステムフォルダ\wintbp.exe

* Windowsシステムフォルダは標準では、
C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)または
C:\Windows\System32 (Windows XP)です。

当ワームは感染したコンピュータで接続可能なIPアドレスを検出しようと試み、接続可能なIPアドレスが確認できない場合、当ワームが正常に動作しない可能性があります。
IPアドレスへの接続に成功すると、TCP7778 ポートを開いて該当のコンピュータのWindowsテンポラリフォルダに次のようなファイルを作成します。
当ファイルには感染したコンピュータから当ワームをダウンロードするためのTFTPスクリプトが含まれています。

＜ランダムな数字＞.dat

* Windowsテンポラリフォルダは標準では、
C:\Windows\Temp (Windows 95/98/Me/XP)またはC:\Winnt\Temp (Windows NT/2000)です。

当ワームは感染したコンピュータでIRCサーバ
（70.20.27.115）に接続を試みます。

上記サーバへの接続が成功すると、当ワームは'#tbp'というIRCチャネルに参加し、感染拡大を行ったIPアドレスを記録します。

当ワームはTCP445 ポートを利用して、Microsoft Windows プラグアンドプレイの脆弱性を利用します。
当ワームが利用するセキュリティホールの情報に関しましては以下のマイクロソフト社の説明をご参照下さい
:[MS05-039] プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる

ウイルスチェイサーでの検出及び駆除が可能です。
ウイルスチェイサーのアップデートを実行し、ウイルスチェイサーを最新の状態にアップデートして下さい。
メモリ＆ブートセクタ検査を実行しワームが検出されましたら駆除して下さい。
すべてのファイルに対しウイルス検査を実行し、ワームとして検出されたファイルをすべて削除して下さい。
ワームによって変更されたレジストリを修正して下さい。
レジストリエディタは、画面左下にある「スタート」ボタンをクリックし、「ファイル名を指定して実行」を選択し、表示された画面に"regedit"と入力後、「OK」をクリックしますと起動します。

当ワームはTCP445 ポートを利用して、Microsoft Windows プラグアンドプレイの脆弱性を利用します。
当ワームが利用するセキュリティホールの情報に関しましては以下のマイクロソフト社の説明をご参照下さい
:[MS05-039] プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる