Het virus wordt geactiveerd door het bijlagebestand handmatig te openen.
Op dat moment installeert het zich op het systeem en tracht het zich verder te verspreiden. Indien bijvoorbeeld Kazaa op uw systeem is geinstalleerd zal het Kazaa gebruiken ter verspreiding. Indien dit niet het geval is gebruikt het e-mail en/of het IRC-kanaal.

Als het virus actief is, verschijnt dit nep bericht:

Eigenschappen van het e-mailbericht:

- Onderwerp: Hello

- Tekst van het bericht: You will find all you need in the attachment.

- Naam bijlagebestand: Setup.exe (Dit bestand is 32.256 bytes groot)

Preventieve maatregelen:
herkenning van besmetting:

1)-Zogauw het virus wordt geactiveerd zoekt het virus naar actieve processen op uw systeem waarin het woord "AV of av" voorkomt. Vindt het deze dan worden deze afgesloten.

2)- Een copie van het virus wordt opgeslagen in de standaard Windows\System directorie. Meestal is dit C:\Windows\System.
De copie wordt hier opgeslagen onder de naam "WINSYS*.EXE".
Voor de notatatie * kiest het virus een willekeurig getal van 2 of drie cijfers.

3)- Indien op uw systeem het programma WinZip (een compressieprogramma) is geinstalleerd probeert het virus middels dit programma een gecomprimeerde versie van het virus op te slaan in dezelfde bovengenoemde Windows\System directorie.
De naam van dit zip-bestand is gelijk aan het eerdergenoemde bestand "WINSYS*.EXE".

4)- Indien op uw systeem IRC is geinstalleerd tracht het virus de ingepakte zip-versie van het virus te versturen naar alle contactpersonen die gebruik maken van hetzelfde IRC-kanaal als de besmette computer.

5)- Een gecodeerde versie van het virus wordt weggeschreven in het bestand "MSBOOTLOG.SYS". Dit bestand wordt geplaatst in de root-directorie van uw systeem. Meestal is dit C:\ .
Hiermee wordt vervolgens het virus verzonden via e-mail. Het wordt verzonden naar alle e-mailadressen die het vindt in .HTM bestanden aanwezig in de map "temporary internet files".

6)- Vervolgens kijkt het virus of KaZaa op uw systeem is geinstalleerd. Indien het geval dan installeert het virus zich in een 4-tal bestanden die geplaatst worden in de deelbare mappen van Kazaa. Ofwel: gebruikers die uw computer bekijken voor beschik- en deelbare bestanden kunnen vervolgens het virus binnenhalen.

De 4 bestandsnamen zijn:
-icq2002.exe
-wincrack.exe
-winamp.exe
-mirc6.exe

Algemene tip voor KaZaa gebruikers:
Lobika adviseert om KaZaa standaard dusdanig te configureren dat .exe bestanden niet binnengehaald kunnen worden. Veel virussen die zich richten op het KaZaa-netwerk gebruiken de extensie .exe.

Registry
7)- Het virus maakt een verwijzing in de registry naar het bestand genoemd onder punt 2.
De registry-sleutel luidt:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run\Windows task32 sys=[ locatie en naam bestand genoemd onder punt 2 ]

8)- Vervolgens wordt de volgende registry-sleutel aangemaakt. Dit geeft aan dat de infectie is geslaagd:

HKEY_LOCAL_MACHINE\Software\RedCell\infected=yes

9)- Iedere 15e september toont het virus een Windows-venster met als titel "I-worm/PiecebyPiece"

Verwijder instructies:
- Verwijder het virus met één van de gratis online scanners

- Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}.