I-Worm.Atirus rozprzestrzenia się w postaci wiadomości e-mail wysyłanych do wszystkich użytkowników zapisanych w książce adresowej programu Outlook.
Po uruchomieniu na „czystym” komputerze robak tworzy swoją kopię z nazwą %SYSTEM%\Setup30.exe i dodaje do rejestru klucz autostart, który zapewnia mu uruchomienie wraz z każdym startem Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kernel Setup=%SYSTEM%\Setup30.exe
Następnie robak pozostaje w uśpieniu przez 5 minut, po czym w zależności od daty systemowej uruchamia jedną z pięciu procedur:
Poniedziałek: wyszukuje i usuwa robaka I-Worm.Badtrans;
Wtorek: przywraca domyślne wartości w pliku Win.ini i modyfikuje klucz rejestru: HKCR\exefile\shell\open\command Default value=”%1″ %*;
Środa: wyszukuje i usuwa robaka I-Worm.PrettyPark;
Czwartek: usuwa następujące pliki: c:\mirc\mirc.ini, c:\mirc\script.ini, c:\mirc32\mirc.ini, c:\mirc32\script.ini, c:\irc\mirc.ini, c:\irc\script.ini, c:\chat\mirc.ini, c:\chat\script.ini, c:\progra~1\mirc\mirc.ini, c:\progra~1\mirc\script.ini, c:\progra~1\mirc32\mirc.ini, c:\progra~1\mirc32\script.ini, c:\progra~1\irc\mirc.ini, c:\progra~1\irc\script.ini;
Piątek: wyszukuje i usuwa robaka I-Worm.Sircam.c;
Sobota: przywraca domyślne wpisy w pliku System.ini;
Niedziela: wyszukuje i usuwa wszystkie pliki posiadające rozszerzenia VBS zapisane w katalogu Windows oraz systemowym Windows.
16 września robak wyświetla poniższą wiadomość:
—
Antivirus
—
System protected by I-Worm.Antivirus
Copyright (c) 2001 by aLL3gRo
—
Po uruchomieniu jednej z powyższych procedur, robak sprawdza czy w rejestrze istnieje klucz:
HKLM\Software\Microsoft\Windows\
CurrentVersion Install=1
Jeżeli klucz taki nie istnieje robak próbuje wysłać swoje kopie do nadawców wiadomości zapisanych w folderach domyślnego klienta poczty elektronicznej.
Temat wysyłanej przez wirusa to New antivirus tool, załączony plik ma nazwę Antivirus.exe, natomiast treść wiadomości jest następująca:
Hey, checkout this new antivirus tool which checks your system for viruses
Wirus PC