Gusano que se propaga por correo electrónico a todos los contactos encontrados en el equipo infectado.

También libera el archivo "services.dll" dentro de la carpeta de sistema de Windows.

El gusano abre una ventana del navegador con el sitio http://www.cnn.com/WORLD

Luego abre el sitio http://cocorosa.ath.cx

Después de ejecutarse el gusano borra las entradas creadas para ejecutarse en cada reinicio.

Borra todos los archivos dentro de la carpeta Cookies.

El gusano se conecta al sitio "cocoazul.ath.cx" por el puerto 80 y espera instrucciones de un atacante remoto.

Captura la salida del teclado

El asunto del mensaje y el nombre del archivo adjunto están creados con datos obtenidos del sitio http://www.cnn.com.