Worm.Qaz
Gdy zainfekowany plik zostanie uruchomiony, robak umieszcza si臋 w sekcji auto-start rejestru Windows:
startIE = "nazwapliku qazwsx.hsq"
gdzie "nazwapliku" jest nazw膮 pliku robaka (zazwyczaj - Notepad.exe, zobacz poni偶ej). W rezultacie robak b臋dzie uruchamia艂 si臋 wraz z ka偶dym startem systemu.
Nast臋pnie szkodnik pozostaje rezydentny jako aplikacja w pami臋ci systemowej (jest widoczny na li艣cie zada艅) i uruchamia dwa procesy: rozprzestrzeniaj膮cy oraz procedur臋 backdoor.
Proces rozprzestrzeniaj膮cy powiela wirusa w sieci lokalnej, umieszczaj膮c go na dyskach udost臋pnionych w trybie do odczytu i zapisu. Robak okre艣la zasoby sieciowe i szuka w ich nazwach ci膮gu "WIN". Je艣li taki tekst zostanie znaleziony (czyli prawdopodobnie na zdalnym komputerze zainstalowany jest system Windows), bakcyl szuka pliku NOTEPAD.EXE, zmienia jego nazw臋 na NOTE.COM i zapisuje swoja kopi臋 z nazw膮 NOTEPAD.EXE.
W rezultacie, oryginalny NOTEPAD.EXE ma nazw臋 NOTE.COM (plik ten jest wykorzystywany przez wirusa do uruchomienia oryginalnego Notatnika), natomiast kod robaka zawarty jest w pliku NOTEPAD.EXE. Bakcyl aktywuje si臋 w momencie uruchomienia Notatnika na zainfekowanym komputerze.
Procedura backdoor jest ca艂kiem prosta. Obs艂uguje tylko kilka komend: Run (uruchamia okre艣lony plik), Upload (tworzy plik na zaatakowanej maszynie) oraz Quit (ko艅czy dzia艂anie procedur robaka). S膮 to tylko trzy komendy, jednak w zupe艂no艣ci wystarczaj膮 do zainstalowania na zdalnym komputerze jakiegokolwiek innego, pot臋偶niejszego backdoor'a lub konia troja艅skiego.
Robak wysy艂a informacj臋 do swojego "hosta". Jest to wiadomo艣膰 e-mail, wysy艂ana pod chi艅ski adres. Korespondencja zawiera adres IP zainfekowanego komputera.