Základní charakteristika viru Zavirovaný e-mail obsahuje náhodné jméno odesílatele. Jeho přítomnost ale může poodhalit již předmět zprávy, který obsahuje slovíčko Hi. Po otevření infikované e-mailové zprávy uživatel nalezne následující zprávu:
Test=)
/náhodně generované znaky/
--
Test, yep.
Samotný vir se ukrývá v příloze, jejíž název je náhodný, ale má koncovku *.exe. To by ostatně již samo o sobě mělo uživatele dostatečně varovat.
Jak probíhá nákaza
Soubor, který červa obsahuje, je veliký zhruba 16 kB a pokud je spuštěn, provede tyto operace:
- Nejdříve zkontroluje datum, a pokud zjistí, že je již po 28.lednu, neprovádí jiné úkony. Pokud je však datum starší, pokračuje následujícími kroky.
- Zkopíruje své tělo pod názvem bbeagle.exe do systémového adresáře. Pro starší verze OS Windows to znamená cestu C:\Windows\System a v novějších pak C:\Winnt\System32 (Win 2000) nebo C:\Windows\System32 (Win XP).
- Poté se spustí program Calc.exe
- Aby se mohl tento vir spouštět při každém restartu počítače, zapíše následující změny do těchto klíčů registru HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3update.exe" = "%system%\bbeagle.exe" HKEY_CURRENT_USER\Software\Windows98, "uid" = "[Random Value]" HKEY_CURRENT_USER\Software\Windows98, "frun" = "1
- Aby se mohl dále šířit, získává vir e-mailové adresy ze souborů s koncovkami .wab, .txt, .htm a .html.