Dieser Worm ist darauf aus, die Rechnerleistung infizierter Systeme auszunutzen. Es geht darum Datenpakete des Distributed Computing-Projekts DCTI zu berechnen. Bei DCTI handelt es sich um eine Organisation die Computernutzer "versammelt", die ihre Rechnerkapazitäten zur Berechnung von Aufgaben freiwillig zur Verfügung stellt. Gewinne spendet diese Organisation wohltätigen Zwecken. Zunächst versucht der Worm über zufällig angewählte IP-Adressen auf das Laufwerk C:\ zuzugreifen. Sollte ihm dieses gelingen werden folgende Dateien unter \Windows\StartMenu\Programs\StartUp und \Windows\System angelegt:
MSCLIENT.EXE, INFO.DLL, MSxxx.EXE, DNETC.INI, und DNETC.EXE
Die Datei MSxxx.EXE wird jedoch von System zu System eine unterschiedliche Bezeichnung haben. Hier werden die drei "x" durch Teile der IP und anderen Zeichen ersetzt.
Bei den Dateien DNETC.EXE und DNETC.INI handelt es sich im übrigen um die offiziellen Files von DCTI, die auch jeder angemeldete Teilnehmer erhält.
Desweiteren legt der Worm Autostarteinträge in der Win.ini und Registry wie folgt an:
Wini.ini:
load=c:\windows\system\msxxx.exe
Registry:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Eintrag: MSINIT=c:\windows\system\msxxx.exe (auch hier weicht die Zeichenkette "xxx" wie entsprechend wie weiter oben beschrieben ab).
Nachdem der Worm sich vollständig installiert hat, beginnt er auch schon damit, Pakete der Organisation DCTI herunterzuladen. Nachdem diese berechnet wurden, werden die fertigen Ergebnisse zurückgeschickt.
Ansonsten sind jedoch keinerlei lokale Schäden (Datenverluste etc.) bekannt.
Wichtiger Hinweis !
Es handelt es sich bei DCTI um eine offzielle Organisation, die jedoch mit der Verbreitung des Worms nichts zu tun hat.