VBS.Mcon.b
Po uaktywnieniu, robak kopiuje si臋 z nazw膮 "ttfload.vbs" do katalogu systemowego, zawieraj膮cego czcionki. Nast臋pnie, modyfikuje rejestr systemowy tak, by kopia by艂a uruchamiana wraz z ka偶dym startem systemu Windows. Gdy szkodnik zostanie uruchomiony z katalogu "FONTS" lub "STARTUP", wy艣wietla fa艂szywy komunikat o b艂臋dzie:
ERROR
FILE I/O ERROR
Funkcja rozprzestrzeniaj膮ca robaka skanuje wszystkie lokalne i sieciowe dyski. W ka偶dym katalogu tworzona jest kopia wirusa (plik z rozszerzeniem ".vbs").
Po zako艅czeniu skanowania dysk贸w, robak rozpoczyna wyszukiwanie dost臋pnych w sieci adres贸w IP. Szkodnik losowo generuje adres i je艣li maszyna o takim adresie jest dost臋pna - umieszcza na niej swoj膮 kopi臋.
Gdy robak trafi na katalog, kt贸rego nazwa zawiera ci膮g "mirc", tworzy w nim plik SCRIPT.INI. Plik ten zawiera skrypt, kt贸ry automatycznie uruchamia si臋 wraz ze startem klienta mIRC. Skrypt przeszukuje sie膰 i wykonuje dok艂adnie takie same czynno艣ci jak robak.
W zale偶no艣ci od losowo wygenerowanej liczby, w jednym przypadku na tysi膮c, robak zamienia stron臋 startow膮 przegl膮darki internetowej na "http://www.zonelabs.com/".