Todo cuanto se requiere es que la víctima abra el mensaje de correo electrónico infectado o lo pre-visualice en Outlook o Outlook Express.
Se trata de una variante del conocido gusano Badtrans, aunque en esta oportunidad está actualizado con nuevos trucos. Cuando el gusano es ejecutado se copia a sí mismo en el catálogo del sistema Windows bajo el nombre Kernel32.exe, que no debe ser confundido con el archivo legítimo Kernel32.dll de Windows.
El gusano se vale del conocido agujero de seguridad definido como el encabezamiento equivocado de MIME podría hacer que IE ejecute un archivo anexo de correo electrónico, que implica que el anexo es ejecutado y que el contagio se produce cuando el usuario abre el correo electrónico o lo previsualiza en Outlook/Outlook Express.
Los nombres del archivo infectado pueden ser , Fun, Humor , docs , info , sorry_about_yesterday, Me_nude, Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, pics S3MSONG, y SEARCHURL.
El citado agujero de seguridad es un tema conocido con las versiones 5.01 y 5.5 de Internet Explorer sin el Service Pack 2. Los usuarios que tengan tal configuración deberían descargar el parche ofrecido en el sitio de Microsoft o desconectar la función de Active Scripting.
