Auch dieser Wurm nutzt die Mailsoftware Outlook der Firma Microsoft. Dieses jedoch zum Teil geschickter und weitaus unsichtbarer als die meissten anderen Mailwürmer, die aus den tagesaktuellen News zu entnehmen sind.
Ankommende E-Mails tragen keinen typischen Betreff, Mailtext, Dateianhang oder gar Absender. Selbst der gefährliche Code verfügt über keine typischen Eigenschaften, da dieser polymorph ist und somit seinen Code von "Infektion zu Infektion" verändern kann.
Der Code von "Cuerpo" versteckt sich gleich zwei Mal in einer E-Mail. Einmal als HTML-Script in einer nicht sichtbaren Signatur und nochmals als ausführbaren Dateianhang. Beide Wurm-Varianten nutzen eine bekannte Lücke im Sicherheitssystem des Internet Explorers (Scriptlet.TypeLib).
Vor allem die unsichtbare Signatur kann für böse Überraschungen sorgen, wenn der Anwender die Anzeige aller E-Mails in HTML aktiviert hat. Dann wird der Wurm bereits nur beim Öffnen einer Mailnachricht aktiv. Diese Methode nutzten auch schon bekannte Würmer wie VBS.Worm KAK, BubbleBoy und einige andere. Das funktioniert jedoch nur mit aktiviertem Scripting Host (ist bei einer Standartinstallation der Fall !) im Zusammenhang mit dem Internet Explorer 5.0 und den Windowssystemen 95 / 98 und ME. Jedoch auch "nur" dann, sollte ein entsprechendes Sicherheitspatch (noch) nicht nachinstalliert worden sein. (Patch gibt es hier).
Wurde die HTML-Anzeige jedoch abgeschaltet, bleibt immer noch die Gefahr gegeben, indem der Empfänger den Dateianhang ausführt. Somit nutzt "Cuerpo" zwei Möglichkeiten aus um ein System zu befallen.
Wenn der Wurm einmal auf einem System aktiv geworden ist, so nutzt er laut Kaspersky Labs. zwei verschiedene Verbreitungsroutinen.
Der Wurm verschickt sich über die Mailsoftware Outlook an alle darin enthalten Mailadressen aus dem Adressbuch.
Desweiteren durchsucht der Wurm sämtliche Laufwerke nach Mail-Datenbanken und verschickt diese Adressen per HTTP an eine entfernte Webseite (wahrscheinlich von der Person, die den Wurm "in die Welt gesetzt" hat). Von dort aus werden an die gesammelten Adressen je eine mit dem Wurm infizierte Mail (siehe auch oben) verschickt.
Nebenbei löscht der Wurm noch den Inhalt der Startseite aus dem Internet Explorer. Vier Tage nach der Infektion wird eine neue Startseite mit der Webadresse http://www.freedonation.com angelegt.
