Jest to internetowy robak, znaleziony na wolności w połowie marca 2001. Wirus rozprzestrzenia się poprzez pocztę elektroniczną oraz kanały IRC. Szkodnik infekuje pliki EXE zapisane w katalogu Windows. Wirus ma postać aplikacji Win32 (pliku PE EXE) napisanej w języku Microsoft Visual C++. Jego rozmiar to około 60 KB.

Po uruchomieniu, robak kopiuje się do katalogu systemowego Windows z nazwami XANAX.EXE oraz XANSTART.EXE. Plik XANSTART.EXE jest rejestrowany w poniższym kluczu rejestru systemowego:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
Default = %winsystem%xanstart.exe

gdzie %winsystem% to nazwa systemowego katalogu Windows. W rezultacie, robak będzie uruchamiany podczas każdego startu systemu operacyjnego.

Zainfekowana wiadomość e-mail

Następnym krokiem wirusa jest uruchomienie procedury rozprzestrzeniającej. W tym celu, robak tworzy tymczasowy plik XANAX.VBS (skrypt Visual Basic), i uruchamia go przy pomocy WSCRIPT.EXE. Skrypt uzyskuje dostęp do książki adresowej programu Outlook i wysyła zainfekowane wiadomości do 1000 znalezionych w niej użytkowników. Wiadomości wyglądają następująco:

Temat: Stressed? Try Xanax!
Treść:

Hi there! Are you so stressed that it makes you ill? You're not alone! Many people suffer from stress, these days. Maybe you find Prozac too strong? Then you NEED to try Xanax, it's milder. Still not convinced? Check out the medical details in the attached file. Xanax might change your life!

Nazwa załączonego pliku: xanax.exe

Infekowanie plików EXE

Szkodnik atakuje pliki EXE zapisane w katalogu Windows. Wirus nie infekuje plików, których nazwy rozpoczynają się od liter E, P, R, S, T oraz W.

Kanały IRC

Następnie, robak atakuje klienta mIRC. Wirus szuka go na dyskach C:, D:, E: oraz F: w następujących katalogach:

mirc
Program Filesmirc

Jeśli mIRC jest zainstalowany, robak nadpisuje jego plik SCRIPT.INI programem, wysyłającym zarażony plik (kopię wirusa) do każdego użytkownika, który przyłączy się do zainfekowanego kanału.

Dodatkowe informacje

Gdy wirus zostanie uruchomiony z pliku o nazwie zawierającej na przedostatniej pozycji literę R (przykładowo, xxxRx.EXE), wyświetla wiadomość:

Xanax
8-Chloro-1-methyl-6-phenyl-4H-s-triazolo (4,3-alpha)(1,4) benzodiazepine

Dokładnie taką nazwę posiada plik robaka umieszczony w rejestrze systemowym (XANSTART.EXE), zatem wiadomość ta będzie wyświetlana podczas każdego uruchomienia systemu Windows.

Robak tworzy także dodatkowe pliki:

W katalogu systemowym Windows: HOSTFILE.EXE
W katalogu Windows: WINSTART.BAT oraz XANAX.SYS

Plik HOSTFILE.EXE jest zapisywany po uruchomieniu zainfekowanego zbioru i zawiera jego "czystą" (nie zarażoną) wersję.

plik XANAX.SYS zawiera tekst:

Win32.HLLP.Xanax (c) 2001 Gigabyte

natomiast WINSTART.BAT zawiera komendę wyświetlającą poniższy tekst:

Do not take this medication with ethanol, Buspar (buspirone), TCA antidepressants, narcotics, or other CNS depressants. This combination can increase CNS depression. Be sure not to take other sedative, benzodiazepines, or sleeping pills with this drug. The combinations could be fatal. Do not smoke or drink alcohol when taking Xanax. Alcohol can lower blood pressure and decrease your breathing rate to the point of unconsciousness. Tobacco and marijuana smoking can add to the sedative effects of Xanax.