atic.A

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz egy ""blaaat"" mutexet annak érdekében, hogy a féreg csak egy példányban fusson a rendszerben.

2. Bemásolja magát a Windows System könyvtárába iexplor.exe néven.

3. Leellenőrzi, hogy az alábbi bejegyzés megtalálható-e a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS. Update\""bla"" = ""[random number]""
Amennyiben ez létezik, akkor a féreg letölt egy fájlt az Internetről, majd lefuttatja azt.

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
kulcsához hozzáadja a
""shell"" = ""explorer.exe iexplor.exe"" értéket.

5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
kulcsához hozzáadja a
""winsockdriver"" = ""iexplor.exe"" értéket.

6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS. Update
kulcsához hozzáadja a
""bla"" = ""[véletlenszerű szám]"" értéket.

7. A %Windir%\system.ini fájlhoz hozzáfűzi a következő sort:
shell = explorer.exe iexplor.exe

8. $ADMIN hálózati megosztáson keresztül megpróbál tovább terjedni. Ehhez előre meghatározott jelszavakat használ.

9. Nyit egy hátsó kaput a 6667-es TCP porton, amelyen keresztül kapcsolódik egy IRC szerverhez.