Червь распространяется классическим путём: в виде прикреплённых файлов по электронной почте. Для своей активизации червь применяет уязвимость IFRAME, что позволяет ему автоматически активизироваться при просмотре инфицированного письма. Кроме того, он размножается в локальных сетях (копируя себя в сетевые ресурсы с общим доступом).

I-Worm.Tanatos является WinEXE программой, написанной на языке Microsoft Visual C++ и упакованной утилитой сжатия EXE-файлов UPX. Размер тела червя - 50688 байт.

После запуска червь копирует своё тело в папку Windows System со случайным именем. Далее он добавляет запись в реестр:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
<эээээээээээээээээээээээээ

Далее, червь рассылает себя по адресам электронной почты, взятым из Windows Address Book (WAB). При этом тема письма может меняться и берётся из следующего списка:

• $150 FREE Bonus!
• 25 merchants and rising
• Announcement
• bad news
• CALL FOR INFORMATION!
• click on this!
• Confirmation of Recipes…
• Correction of errors
• Daily Email Reminder
• empty account
• fantastic
• free shipping!
• Get 8 FREE issues - no risk!
• Get a FREE gift!
• Greets!
• hello!
• history screen
• hmm..
• I need help about script!!!
• Interesting...
• Introduction
• its easy
• Just a reminder
• Lost & Found
• Market Update Report
• Membership Confirmation
• My eBay ads
• New bonus in your cash account
• New Contests
• new reading
• Payment notices
• Please Help...
• Report
• SCAM alert!!!
• Sponsors needed
• Stats
• Today Only
• Tools For Your Online Business
• update
• various
• Warning!
• Your Gift
• Your News Alert

Червь ищет в памяти приведенные ниже процессы и прерывает их выполнение:

• _AVP32.EXE
• _AVPCC.EXE
• _AVPM.EXE
• ACKWIN32.EXE
• ANTI-TROJAN.EXE
• APVXDWIN.EXE
• AUTODOWN.EXE
• AVCONSOL.EXE
• AVE32.EXE
• AVGCTRL.EXE
• AVKSERV.EXE
• AVNT.EXE
• AVP.EXE
• AVP32.EXE
• AVPCC.EXE
• AVPDOS32.EXE
• AVPM.EXE
• AVPTC32.EXE
• AVPUPD.EXE
• AVSCHED32.EXE
• AVWIN95.EXE
• AVWUPD32.EXE
• BLACKD.EXE
• BLACKICE.EXE
• CFIADMIN.EXE
• CFIAUDIT.EXE
• CFINET.EXE
• CFINET32.EXE
• CLAW95.EXE
• CLAW95CF.EXE
• CLEANER.EXE
• CLEANER3.EXE
• DVP95.EXE
• DVP95_0.EXE
• ECENGINE.EXE
• ESAFE.EXE
• ESPWATCH.EXE
• F-AGNT95.EXE
• FINDVIRU.EXE
• FPROT.EXE
• F-PROT.EXE
• F-PROT95.EXE
• FP-WIN.EXE
• FRW.EXE
• F-STOPW.EXE
• IAMAPP.EXE
• IAMSERV.EXE
• IBMASN.EXE
• IBMAVSP.EXE
• ICLOAD95.EXE
• ICLOADNT.EXE
• ICMON.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IFACE.EXE
• IOMON98.EXE
• JEDI.EXE
• LOCKDOWN2000.EXE
• LOOKOUT.EXE
• LUALL.EXE
• MOOLIVE.EXE
• MPFTRAY.EXE
• N32SCANW.EXE
• NAVAPW32.EXE
• NAVLU32.EXE
• NAVNT.EXE
• NAVW32.EXE
• NAVWNT.EXE
• NISUM.EXE
• NMAIN.EXE
• NORMIST.EXE
• NUPGRADE.EXE
• NVC95.EXE
• OUTPOST.EXE
• PADMIN.EXE
• PAVCL.EXE
• PAVSCHED.EXE
• PAVW.EXE
• PCCWIN98.EXE
• PCFWALLICON.EXE
• PERSFW.EXE
• RAV7.EXE
• RAV7WIN.EXE
• RESCUE.EXE
• SAFEWEB.EXE
• SCAN32.EXE
• SCAN95.EXE
• SCANPM.EXE
• SCRSCAN.EXE
• SERV95.EXE
• SMC.EXE
• SPHINX.EXE
• SWEEP95.EXE
• TBSCAN.EXE
• TCA.EXE
• TDS2-98.EXE
• TDS2-NT.EXE
• VET95.EXE
• VETTRAY.EXE
• VSCAN40.EXE
• VSECOMR.EXE
• VSHWIN32.EXE
• VSSTAT.EXE
• WEBSCANX.EXE
• WFINDV32.EXE
• ZONEALARM.EXE

Червь содержит в себе троян. Троян открывает сетевой порт 36794, позволяя злоумышленнику подключаться к нему. Открытый порт позволяет злоумышленнику контролировать зараженный компьютер: принимать/передавать/копировать/удалять файлы, запускать файлы на выполнение, принудительно завершать процессы, и т.п. Червь также открывает на зараженном компьютере HTTP-сервер и предоставляет "хозяину" WEB-интерфейс для операций с зараженной системой.

Кроме того, троянец собирает информацию, вводимую с клавиатуры и отправляет её на несколько различных адресов электронной почты.

I-Worm.Tanatos.b

Представляет собой полиморфно-шифрованную модификацию того же червя. Тело червя упаковано утилитой сжатия UPX и меет размер 72Кб. Призапуске сервь создаёт в системной папке Windows свои рабочие файлы. Кроме того червь заражает как на локальном так и на сетевых дисках следующие файлы:

• %WinDir%\scandskw.exe
• %WinDir%\regedit.exe
• %WinDir%\mplayer.exe
• %WinDir%\hh.exe
• %WinDir%\notepad.exe
• %WinDir%\winhelp.exe
• %ProgramFiles%\Internet Explorer\iexplore.exe
• %ProgramFiles%\adobe\acrobat 5.0\reader\acrord32.exe
• %ProgramFiles%\WinRAR\WinRAR.exe
• %ProgramFiles%\Windows Media Player\mplayer2.exe
• %ProgramFiles%\Real\RealPlayer\realplay.exe
• %ProgramFiles%\Outlook Express\msimn.exe
• %ProgramFiles%\Far\Far.exe
• %ProgramFiles%\CuteFTP\cutftp32.exe
• %ProgramFiles%\Adobe\Acrobat %ProgramFilesDir%\4.0\Reader\AcroRd32.exe
• %ProgramFiles%\ACDSee32\ACDSee32.exe
• %ProgramFiles%\MSN Messenger\msnmsgr.exe
• %ProgramFiles%\WS_FTP\WS_FTP95.exe
• %ProgramFiles%\QuickTime\QuickTimePlayer.exe
• %ProgramFiles%\StreamCast\Morpheus\Morpheus.exe
• %ProgramFiles%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
• %ProgramFiles%\Trillian\Trillian.exe
• %ProgramFiles%\Lavasoft\Ad-aware 6\Ad-aware.exe
• %ProgramFiles%\AIM95\aim.exe
• %ProgramFiles%\Winamp\winamp.exe
• %ProgramFiles%\DAP\DAP.exe
• %ProgramFiles%\ICQ\Icq.exe
• %ProgramFiles%\kazaa\kazaa.exe
• %ProgramFiles%\winzip\winzip32.exe

Для защиты от данного червя рекомендуется:

• установить заплатку для Internet Explorer
  
• Обновить антивирусные базы и протестировать компьютер.