Onderstaande lijst van gedeelde bestanden wordt op het systeem geplaatst en via mIRC worden gebruikers uitgenodigd om deze bestanden te downloaden (via HTTP)

Eigenschappen van het e-mailbericht:

* Onderwerp: [wisselend, een van onderstaande]
Re: eCard Delivery Error:
Re: VoiceMail to - Delivery Error
You`ve got 1 new eCard!
Re: Bad Request Server not found!
One new VoiceMail! ID:
One new eCard! ID:
ID: New eCard in your inbox!
ID: You got one VoiceMail! See online!
Num: One new eCard from
Num: One new VoiceMail from
Mail Delivery (error
Re: Message Error! mail:
Bad Request Server not found!
Re: Mail System Error - Returned Mail
Extended Mail System ERROR:
Re: Mail Delivery Error!
Protected Mail Server invalid!
Re: Mail Delivery: - Error
Re: MAIL Error num: - Returned mail: see transcript for details
Warning!!!
Why you SPAM?
Last notice! Regard ! Please read...
This is not OK !
Don't spam!!!!!
Question about YOUR SPAM!!
irc.afternet.org
Information!You spam this email:
Last chance!STOP SPAM THIS EMAIL:
I call spam POLICE! STOP!!!

* Tekst van het bericht: [wisselend]
Dear Sir,
According to our cognitions you have done next:
The emails are still arriving...
Stop to doing that,i call Spam Police!
actually you have been buring our network and our right is to protect our users.
Accourding to that you have been informed about this by phone by our System engineer,
with this letter we want to point you to next facts:
1) Your personal account is not restricted in any way and our right is to protect our users and servers;
2) Server
has been shuted down beacouse large amount of emails that have been
arricing to our servers and beacouse of adequacy suspicion that it is a spam ramp.
3) Unsubscribing system is not functioning!
On unsubscribing attempt result is next:
According to part 10 of Personal servie terms of use we are authorized to warn you about this.
As an evidence we have a LOG file fromour server that is clearly showing date and time when you
I send you LOG File , to see your IP Adress!
have been sending spam emails, your IP address and your username!
Please accept this warnning about sending informations to users and wrongly interpret our actions taken in your case as seriously as possible.
If you don't accept this warning we will be forced to refer to our lawyers so we could protect our company intersts.
If you don't understand anything in this email, please contact us via email or by phone for aditional explanations.
According to computer criminal law of USA, act 168v, act you have done is judget to
jail (1-8 years).
Best regards,
Office Manager
Dear Customer!
You`ve got 1 eCard VoiceMessage from ecards.com website!
You can listen your Virtual VoiceMessage at the following link:
http:/ /see.ecards.com/
or by clicking the attached link:
Send eCard VoiceMessage! Try our new eCard VoiceMessage Empire!
Best regards: eCard.com Team (R).

Dear User!
You have one new eCard Pic to your inbox at eCard.com
Login ID:
You can see your eCard at the following link:
https:/ /pics.ecard.com/
Or by clicking the attached link:
Thank you
One new Voice Message for you!
From:
Can see online: http:/ /voice.ecard.com/
or by clicking the attached link:
Test our new service! Send you one voice message http://voice.ecards.com
Best regards: eCard.com Team (R).
Delivery Failed ! Error:
The original message was included as attachment
----- The following addresses had permanent fatal errors -----
>>> DATA or
<<<400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
--- From Server:
>>> MAIL
To:
<<<400-aturner; -RMS-E-CRE, ACP file create failed
<<<400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
<<<400

Het installeert een copie van het wormbestand onder een aantrekkelijke naamstelling zijnde een van onderstaande.:

1001nesroms.exe
adness2.exe
Ageofempires2crack.exe
AgeOfMythologyISO.exe
AliciaSilverstonePayboyNude.scr
AnaKurnikovaVirualGirl2004.scr
AngelinaRealScreenSaver.scr
AquaNox2crack.exe
AVPCrackNEW.exe
Battlefield1942bloodpatch.exe
Battlefield1942Bloodpatch.exe
BattlenetkeygeneratorWORKS.exe
Bingo.exe
BritneySpearsDanceBeat.scr
BritneyspearsNude.scr
Burnout2CarRacing.exe
Cablemodemuncapper.exe
CloneCDallversionskeygenerator.exe
CloneCDcrack.exe
Copyprotectionremover.exe
counterstrikeaim_bot.exe
CounterStrikeHLDSv1.1.0.9.exe
counterstrikemaphack.exe
counterstrikerkeygen2004.exe
Crazytaxicrack.exe
CuteFTPPro30.exe
DDosClient2005.exe
deadaim4.0.exe
deadaim4.0serial.exe
DivXcodecv6.0.exe
DivXnewestversion.exe
DivXpatch-Increasesquality.exe
DivXprokeygenerator.exe
Doom3Beta.exe
DragonballZCOMPLETEepisodeguide.exe
DragonballZepisode1.exe
DragonballZshootout.exe
DVDCoppierv1.5.7byCrash2004.exe
DVDRipperv1.3.2byCrash2004.exe
EmailBomber447.exe
EvidenceEraserbyCrash2004.exe
FIFA2004crack.exe
FileServer.exe
FlashGolf.exe
FreeMpegsLists.pif
FreePicsList.pif
FreePornLists.pif
FunnyBush2004movieSeptember.scr
GamecubeEmulatorWORKS.exe
Generalscrack.exe
GrandPrix4crack.exe
Grandtheftauto3CD1crack.exe
GTA3crack.exe
Hackintoanycomputer.exe
Half-lifeONLINEkeygenerator.exe
Half-lifeWONkeygenerator.exe
HoesForYouSolitare.exe
iWormMymoonremovetool2.5.exe
J.LoBikiniScreensaver.scr
JediKnight2crack.exe
JennaJamisonDildoHumping.scr
J-LONudeREAL.scr
KamaSutraTetris.exe
KazaaClone.exe
KaZaAhack.exe
KaZaAmediadesktopv2.0UNOFFICIAL.exe
KaZaAspywareremover.exe
KeygeneratorforallwindowsXPversions.exe
Keygeneratorforoverreally.exe
McAffeeUtilitiesv3.11FinalbyR2P2K.exe
McAffeeUtilitiesv3.11byR2P2K.exe
Mirc7.0Crack.exe
N0RT0NANTIVIRUS2004.exe
NapsterClone.exe
NBA2004crack.exe
NeroBurningROMv5.5.8.2Keygen.exe
NeroBurningROMv5.5.8.2Serial.exe
NeroBurningROMv5.5.8.2byCooKie.exe
Neverwinternightscrack.exe
Nokiasimlockremoverincludesnewmodels.exe
Nortonantivirus2002.exe
PlayGamesOnlineForFREE.exe
Ps2Emulator.exe
Ps2Iso2RomConverter.exe
Rayman2Full.exe
ResidentEvilDivX.exe
ShakiraDancing.scr
SoldierOfFortune2MutiplayerSerialHack.exe
SpyAgentRemoteControl1.05.exe
SpyCamv6.32.exe
SpyTechSpyAgentPersonalv3.00.00byAmoK.exe
StarCraftBroodWarv1.09byFR.exe
Starwarsepisode2downloader.exe
SystemMonitor.exe
TheSimsGameCrack.exe
TotalImmersionRacingISO.exe
UniversalGameCrack.exe
Unreal2bloodpatch.exe
UnrealTournament2004Bloodpatch.exe
UnrealTournament2bloodpatch.exe
UT2003bloodpatch.exe
Warcraft3Battle.netCrack.exe
Warcraft3battlenetserialgenerator.exe
warcraft3keygen.exe
Warcraft3ONLINEkeygenerator.exe
WinAPs2.exe
Windows2004Keygen.exe
WindowsXPKeyGen.exe
windowsxpkeygen.exe
WindowsXPkeygenerator.exe
WindowsXPserialgenerator.exe
WindowsXPSP1key-Crack.exe
Winrarandcrack.exe
Winzip80serial.exe
WorkingIsoBurner.exe
XboxEmulator.exe
XBOXemulatorWORKS.exe
Xboxinfo.exe
XboxIso2RomConverter.exe
YahooPasswordHacker2004BF.exe
ZoneAlarmProv3.0.2.6byOrion.exe
zoneallarmprocrack2004.exe

Eigenschappen van het invitatie bericht op IRC
Vanaf het besmette systeem wordt naar verschillende IRC kanalen een van onderstaande berichten gestuurt:

*want hot chix as ur screensaver? be sure to visit my private server while im on..
*everyone interested in the newest cracks can visit my private server while im online.. there's other things on it too
*download Britney Spears virual girl screensaver at my private server while im online..
*see funny video of naked Bush while his drunk
*download new version of Windows XP 2004 Keygen here
*hey I found hot Britney Spears Dance Beat screen saver.. download on
*Shakira Dancing virual girl , visit my private server while im online...
*J-LO Nude (REAL!!) ScreenSaver :) hehe, visit my page
*everyone interested to see new Ana Kurnikova hot ScreenSaver can visit my private server while im online.. there's other things on it too
*you can download new 2004 Alicia Silverstone Nude screen saver at this page
*i have big list of XXX passwords at my private server..you can see while im online
*i have big list of URL porn Movies at my private server..you can see while im online
*hey download FREE new 2004 ScreenSavers and much more..
*i have big list of URL porn Pics Gallerys at my private server..you can see while im online..there's other things on it too
*download new version of Microsoft Office XP (english) key generator here
*i have new version Microsoft Office XP (english) key generator at my private webserver , you can download it while im online ;) here
*new version of WinZip + crack , you can download at my webserver while im online ;)
*new version of AVP crack , you can download at my webserver while im online ;)
*new version of miRC crack , you can download at
*hey ppl new version of N0RT0N ANTI-VIRUS 2004 (by mymoon) crack ,download here
*ppl who need Nero Burning ROM v5.5.8.2 Keygen and muck more new cracks can download here
*ppl new private warez server , all new cracks .. see..
*hey dowload FREE nude screensavers here
*hey see this private server.. cool download list..
*best virual girls and cracks on net .. only at my private server :)
*download hot virual girls from my private webserver , while im online...
*download new cracks and screensavers from my private webserver , while im online...
*hey ppl new worm on net, named 'i-worm.mymoon' you can download patch from my private server , while im online...
*ppl download remove tool for new worm 'i-worm.mymoon' you can download here , while im online...
*the antivirus company Sophos released a remove-tool for 'i-worm.mymoon' a new worm thats spreading fast on the internet.. protect your computer.. you can download it from me
*J-LO Nude (REAL!!) new septembar 2004 ScreenSaver :) hehe, visit my page
*the antivirus company Sophos released a remove-tool for 'i-worm.mymoon' a new worm thats spreading fast on the internet.. you can download here
*who need new cracks and cool p-o-r-n screen savers go to my server...
*ppl the anti-virus.com company released a remove-tool for 'i-worm.mymoon' a new worm thats spreading fast on the internet.. at my private webserver , you can download it while im online ;) here
*i update my private server now.. add more cracks and lists,you can see here
*my private server is updated now , you can download some new crack and screen savers and muck more.. visit
*HELLO PPL hehee i update my private server today , add some new cracks and p-o-r-n lists .. visit :)
*I ADD NEW XXX password list on my private server , you can download here
J-LO Nude 2004 Virual Girl:) visit page and download..
*I ADD NEW p-o-r-n password list on my private server , you can download here
*new virual GIRLS is now on my server :) you can download one or something else
*Cracks and muck more programs and screensavers..FREE download
*Britney Spears virual girl screensaver NEW VERSION download here
*Shakira Dancing 2004 screen saver , download from this private server
*want hot chix as ur screensaver? like J-LO or Britney Spears ?? download here
*ahhaa funny video of naked Bush while his drunk hehe see here

Registry
Creatie van onderstaande registry-sleutel:

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

met de waarde: "Windows HTML files "="%Windir%\Sysconf32.exe"

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

- Een registry sleutel verwijst in de "Waarde" altijd naar een bestand, vaak het virusbestand, gebruik de zoekfunctie van het register (CTRL-F) om deze bestanden (en bijbehorende sleutels) op te zoeken.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met een online scanner