Przełamuje mechanizmy zabezpieczeń linuxowych serwerów FTP, czyniąc je dostępnymi dla ogółu użytkowników. W dalszej kolejności podmienia pliki index.html, do czego niezbędne są przywileje dostępu administratora. Zawiera dwa zestawy procedur: zakończone przez łańcuch 62 i 7. Która procedura zostanie zastosowana określa plik //etc//inetd.conf. W celu uruchomienia kodu wirusa wraz z każdym startem systemu zapewnia dołączenie skryptu kodu do pliku //etc//rc.d//rc.sysinit, i skopiowanie asp7 lub asp62 jako pliku  //usr//sbin//asp. Następnie dodawane są dwa konta FTP odpowiednio dla “anonymous” i “ftp”. Na koniec wirus poszukuje następnego dostępnego serwera FTP i zaraża go poprzez wywołanie i uruchomienie pliku synscan7 lub synscan62. 

Robak wyświetla następującą grafikę: 

Jak usunąć ?

Wirus jest wykrywany przez oprogramowanie Trend Micro z bazą wirusów co najmniej 836 oraz wersją motoru skanującego 5.170. 

Opracowano na podstawie materiałów Trend Micro
© 2001 Trend Micro Incorporated. All Rights Reserved