Jest to robak internetowy rozprzestrzeniający się w sieci KaZaA, przez kanały IRC oraz na lokalnych i sieciowych dyskach. Szkodnik ma postać aplikacji PE EXE o rozmiarze około 78 KB (plik skompresowany przy użyciu narzędzia Telock) i został stworzony przy użyciu środowiska programistycznego Delphi.

Instalacja Podczas instalacji robak kopiuje się do katalogu głównego dysku C: z nazwą wybieraną spośród następujących możliwości:

xex0x.exe, xer0x.exe, x3rox.exe, x3r0x.exe, xerox.com, xer0x.com, x3rox.com, x3r0x.com, x3xox.exe

Następnie robak tworzy dla swojej kopii klucz auto-run w rejestrze systemowym:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
xerox = C:\%nazwa robaka%

gdzie %nazwa robaka% jest wybierana losowo.

Kolejnym krokiem robaka jest umieszczenie własnej kopii w folderze Autostart systemu Windows oraz utworzenie nowego klucza rejestru:

HKLMSoftwarexerox
xeroxlocation = %bieżąca nazwa%

gdzie %bieżąca nazwa% jest pełną nazwą pliku, z którego robak został uruchomiony.

Następnie robak podejmuje próbę zamknięcia aktywnych programów antywirusowych i innych aplikacji związanych z bezpieczeństwem:

 IAMAPP.EXE          VSHWIN32.EXE           ICLOAD95.EXE
 IAMSERV.EXE         VSECOMR.EXE            ICMON.EXE   
 CFINET.EXE          WEBSCANX.EXE           ICSUPPNT.EXE
 APLICA32.EXE        AVCONSOL.EXE           ICLOADNT.EXE
 ZONEALARM.EXE       VSSTAT.EXE             ICSUPPNT.EXE
 ESAFE.EXE           NAVAPW32.EXE           TDS2-98.EXE 
 CFIADMIN.EXE        NAVW32.EXE             TDS2-NT.EXE 
 CFIAUDIT.EXE        _AVPCC.EXE             TDS2-XP.EXE 
 CFINET32.EXE        _AVPM.EXE              SAFEWEB.EXE 
 PCFWALLICON.EXE     AVP.EXE                ZAPRO.EXE   
 FRW.EXE             LOCKDOWN2000.EXE       BLACKICE.EXE

Infekowanie systemu KaZaA

Robak infekuje system KaZaA umieszczając swoje kopie we współdzielonym folderze. Kopie te mogą posiadać następujące nazwy:

• XXX.mpeg.exe
• gutter sluts.mpeg.exe
• watch britney fuck.mpeg.exe
• buffy nude.mpeg.exe
• HARDCORE SEX TEENS 1M-4F.mpg.exe
• teen blow jobs and fucks.mpeg.exe
• FULL TEENS NAKED AND FUCKED.mpeg.exe
• teen sex.mpeg.exe
• 4 hot fucking naked girls.mpeg.exe
• kazza2_skin_aqua.exe

Infekowanie porzez kanały IRC

Robak szuka klienta mIRC i tworzy w jego folderze plik SCRIPT.INI zawierający instrukcje wysyłające kopie szkodnika do każdego użytkownika przyłączającego się do zainfekowanego kanału IRC.

W pliku SCRIPT.INI można znaleźć następujący tekst:

Please dont edit this script... mIRC will no longer runcorrectly

Infekowanie dysków

Robak kopiuje się do głównego folderu wszystkich logicznych napędów (od C: do Z:). Jeżeli szkodnik znajdzie na dysku plik AUTORUN.INF, dopisuje do niego instrukcję uruchamiającą go wraz z każdym startem systemu operacyjnego.

Funkcja dodatkowa

13 grudnia robak wykonuje następujące operacje:

• WyÅ›wietla komunikat:

  - all your bases belongs to us - SYSTEM OWNED BY "tHE xEROx wORM" - fix the network problems - no harm to your systems done.

• WysyÅ‚a do wszysztkich użytkowników sieci nastÄ™pujÄ…cy tekst:

  SYSTEM OWNED BY "tHE xEROx wORM" - all your bases belongs to us

• Tworzy plik "c:3jf9302m.txt", zapisuje do niego tekst i drukuje go:

  .XeroX win32 worm - all yours bases belongs to us.
  

  - system owned -
  - network compromised -
  - antvirus/ firewalls shutdown -
  - xerox 2 all users names that log into a infect machine -
  - infects kazaa -
  - disk drive infected -
  - net send command -
  - packet servers -
  - no harm done to system/user files -

  worm was designed ONLY to spred not to do any permanant damage, just dont allow worm to infect a lage network as it can packet the server, on 13th of december any year.

Powyższy tekst jest zapisywany do pliku i drukowany 200 razy.