Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 73 KB (kompresja ASPack, rozmiar po rozpakowaniu - około 98 KB). Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Po uruchomieniu robak kopiuje się do foldera WindowsSystem z losową nazwą, przykładowo Ddlnohkp.exe.

Szkodnik tworzy także w folderze WindowsSystem plik MSDevBase.dat i zapisuje w nim wszystkie adresy e-mail znalezione w zainfekowanym komputerze.

Dodatkowo szkodnik tworzy w folderze WindowsSystem plik o DLL losowej nazwie, przykładowo Pfckhdcm.dll. Jest to backdoor wykrywany przez oprogramowanie Kasepersky Anti-Virus jako Backdoor.Win32.Padodor.gen.

Następnie robak rejestruje własne pliki:

• [HKLMSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
  ".Net Framework" = "{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}"
• [HKLMSoftwareClassesCLSID{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}InProcServer32]
  (Default) = "%System%>losowa nazwa<.dll"
• [HKCRCLSID{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}InProcServer32]
  (Default) = "%System%>losowa nazwa<.dll"

Szkodnik tworzy także unikatowy identyfikator MS.NETFmwk1.1 w celu oznaczenia zainfekowanego systemu.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej.

W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

• Temat (wybierany z poniższych możliwoÅ›ci):

  cyber porno art 
  His photo. 
  My username descriptions. 
  My West Coast Bank registration data disabled. 
  Take update of credit access program. 
  Their image. 
  Update your credit client program. 
  

• Treść (wybierana z poniższych możliwoÅ›ci):

  Greetings, do you remember you spoke something 
  about their image in a naked kind?
  I have found a little bit, i don`t know it is 
  pleasant to you whether or not but i have decided 
  to give to see it to you magic word:...
  As you will decide to have a rest with me, call.
  winxp. 
  
  Hello, my name is :.., i am from branch of State 
  Central Bank. Too hour ago my manager, has asked 
  me to notify you about that our firm has released 
  the new version of credit client program, 
  unfortunately to send the program from work i 
  have not had time therefore i send file from home. 
  Information about account program inside package.	
  Don`t forget unlock pass is Amo:...
  I am sorry. 
  
  Dear Jack, you ask me about our registration 
  reports and i send it to you Also i found some 
  interesting info about our budget usage, if 
  you have free minute please familiarize with 
  this report. You should remember this personal 
  information only for you, access code is ::::. 
  Your data i package file. 
  

• Nazwa zaÅ‚Ä…cznika (wybierana z poniższych możliwoÅ›ci):

  ###adult 
  ##-photo 
  #HardArt 
  #MyPhoto 
  #Sex.jpg 
  Applic-# 
  Art-#### 
  AssFuck# 
  Blondes# 
  Blowjobs 
  CKeeper# 
  Credit## 
  details# 
  Dildos## 
  Fucking# 
  Girls-## 
  HardCor# 
  Image-## 
  Image### 
  Inf-#### 
  Inf4You# 
  InfNo### 
  info-### 
  ItsMe-## 
  Keeper## 
  Lesbian# 
  Me-##### 
  MKeep### 
  MKp##Upd 
  MoneyKe# 
  MyImage# 
  MyPhoto# 
  NudeGirl 
  NWUpdate 
  Orgy#### 
  Photo### 
  PInform# 
  Porn-### 
  Porno-## 
  PornStar 
  Program# 
  Pussy### 
  Rep-#### 
  report## 
  Sadomaso 
  SecRep## 
  SInfo### 
  SoftCor# 
  Teens-## 
  Update## 
  vibrator 
  Xxx#.jpg 
  YouAndI# 
  Your-### 
  YourRep#
  

  Znak # zastępowany jest losowym numerem.

• Rozszerzenie zaÅ‚Ä…cznika (wybierane z poniższych możliwoÅ›ci):

  .exe 
  .pif 
  .scr 
  .zip 
  

Zdalne zarzÄ…dzanie

Szkodnik otwiera losowy port TCP i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu hakerowi na przejęcie kontroli nad zainfekowanym komputerem.

Funkcja dodatkowa

Robak przeprowadza ataki DoS na następujące serwisy WWW:

http://50sbrotherhood.com/ikAARBbH 
http://anypets.com/sotNuSLd 
http://bcn4life.com/KMjvnkAc 
http://beeslender.com/LzKDMFVx 
http://cambodiaclassic.com/tAnwLRRp 
http://divasonic.com/zDcdWXDA 
http://fresh895fm.com/JnaCMJGA 
http://galeriass.com/mRDxxkyz 
http://hpbyggematrialer.dk/jEoESVah 
http://hydrocut.com/KzfDvbjk 
http://linux-bulgaria.org/ZPImndAd 
http://opticalinstrument.com.cn/OfRRnhYY 
http://organicbabe.com.au/QoGJQIZV 
http://pbwga.com/KJvaslsl 
http://piraten.dk/BGAiQOtB 
http://pitzmedia.com/AGgRBzQd 
http://poemas-de-amor.org/sQAAXWrE 
http://praha-mesto.cz/VeTBmiUj 
http://sakichan.ho8.com/KDCvKLFh 
http://smirkingchimp.com/lldLmfSD 
http://snodgers.com/zmvIKkla 
http://synodcathedral.org/KVrxusoL 
http://therefrisky.com/kjnvaPPa 
http://usdacrc.com/gGVrsjlh 
http://wildrice.com/kdmvflkz 
http://wolfscreek.com/lOnFQYoO 
http://www.asis.com/LMlakmvb 
http://www.cashetta.com/LlksvIJH 
http://www.divasonic.com/zDcdWXDA 
http://www.lysbordet.com/OJJAtUEo 
http://www.pitzmedia.com/AGgRBzQd 

Dodatkowo szkodnik podejmuje próby zamykania procesów, których nazwy zawierają następujące teksty:

Detector de OfficeScanNT 
McAfee Framework Service 
Norton Antivirus Service 
Panda Antivirus 
sharedaccess 
ZoneAlarm 

W kodzie szkodnika zapisany jest następujący tekst:

From alqaeda with love

W32.Inforyou.A@mm (Symantec),   Win32.HLLM.Pawur (Doctor Web),   W32/Inforyou-A (Sophos),   WORM_INFORYOU.A (Trend Micro),   Worm/Padowor.A (H+BEDV),   W32/Padowor.A (FRISK),   I-Worm/Padowor.A (Grisoft),   Win32.Padowor.A@mm (SOFTWIN),   Worm.Padowor.A (ClamAV),   W32/Inforyou.A.worm (Panda),   Win32/Padowor.A (Eset)