Червь, создающий свои копии на локальных дисках и доступных для записи сьемных носителях. Является приложением Windows (PE EXE-файл). Упакован при помощи UPX. Размер зараженных файлов варьируется в пределах от 220 до 275 КБ.
Инсталляция
При запуске червь копирует свой исполняемый файл в системный и корневой каталоги Windows:
%WinDir%\RVHOST.exe
%System%\RVHOST.exe
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messengger" = "%System%\RVHOST.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe RVHOST.exe"
Распространение
Червь копирует свой исполняемый файл в корень доступных для записи съемных дисков под следующим именем:
New Folder.exe
Также червь рекурсивно копирует свой исполняемый файл во все папки на съемных дисках. Файлы-копии червя имеют имена, соответствующие именам папок, в которых они находятся, и расширение «.exe».
Деструктивная активность
Червь создает следующие параметры в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = 1
DisableTaskMgr = 1
Таким образом он блокирует запуск редактора реестра и «Диспетчера задач».
Также червь завершает процессы некоторых антивирусных программ и сетевых экранов. | 
