Die vom Wurm versandten E-Mails erwecken den Eindruck, der Internetzugang oder das E-Mail-Konto des Empfängers müsse vorübergehend deaktiviert werden, da dieser gegen Nutzungsbestimmungen verstoßen habe. Um die Situation zu klären, sei das beiliegende Formular auszufüllen.
In diesem Formular steckt natürlich der eigentliche Wurm, der nach seiner Aktivierung den infizierten PC nach E-Mail-Adressen absucht und sich selbst an diese Adressen verschickt.
Außerdem versucht der Wurm, den Zugang zu den Websites zahlreicher Software-Unternehmen zu verhindern und beendet sicherheitsrelevante Prozesse.
Zwei Einträge in der Registry sollen sicherstellen, dass der Wurm bei jedem Systemstart ausgeführt wird:
In den Schlüsseln
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices
findet sich der Wert
"WINDOWS ID SYSTEM" = "wID32.exe"
Das Löschen dieses Wertes und ein anschließender Neustart stoppen den Wurm vorerst. Eine gründlichere Entfernung mit Hilfe eines Virenschutzprogrammes ist jedoch angeraten.
