1. При запуске выполняется контроль мьютекса "gaelicum", затем через PEB->PEB_LDR_DATA получает базу kernel32.dll, загружает импорты по хэшам.
2. Запускает приостановленный процесс из того же файла, что и оригинальный процесс, копирует туда свое тело, определяет контекст стартового потока, передавая ему базу kernel32.dll, запускает поток, передает управление кода у оригинальной точке входа;
3. Код во вновь созданном процессе создает мьютекс контроля повторного запуска, инициализирует библиотеку сокетов, запускает поток локального поиска и начинает ожидать, пока gethostbyname отдаст ему что-нибудь кроме localhost (контроль подключения к внешней сети);
4. Поток локального поиска файлов загружает sfc.dll, получает адрес SfcTerminateWatcherThread, ищет в списке процессов winlogon.exe, устанавливает себе привелегию SeDebugPrivelege, распределяет в winlogon.exe страницу памяти в которую инжектит короткий код вызова SfcTerminateWatcherThread, который затем и выполняет, после чего страницу с инжектом удаляет. Затем выполняется обход дерева каталогов на доступных стационарных накопителях, ресурсах локальной сети, разрешаемых через WNetOpenEnumA/WNetEnumResource. Если обнаружены исполняемые файлы PE, выполняется контроль предыдущего заражения (поле IMAGE_DOS_HEADER[0x32]!='V'). Если файл чист и не ntoskrnl.exe, и в его характеристиках - флаг Executable image, производится его заражение, расширением последней секции, с модификацией заголовка и измением Entrypoint RVA. Выполнение потока завершено.
5. Если gethostbyname ответил о наличии сетевого подключения, запускается 2 или 0x0B (зависит от версии ОС) потоков поиска целевых хостов в Интернете и стартовый поток процесса ждет, пока сетевые gethostbyname не отчитается об отсутствии подключений после чего ожидание подключения повторяется вновь.
6. Поток поиска целевых хостов генерирует случайную маску IPv4: xx.xx.xx.yy. Далее вирус пытается установить 0x40 подключений к порту 139 (NetBIOS), изменяя в каждой из итераций поле yy. Если какое-либо из подключений удачно: getpeername - inet_ntoa - WNetOpenEnumA/WNetEnumResource.
7. Стартовый поток процесса вируса, выполнив инициализацию 2 или 0x0B потоков поиска целевых хостов, запускает поток загрузки полезного функционала.
8. Поток загрузки полезного функционала ожидает сетевое подключение на gethostbyname и, если таковое доступно, создает подключение к порту 80 (HTTP) на ресурсе utenti.lycos.it, затем хосту направляется запрос на загрузку файла '/vx9/dl.exe', в текущей директории создается одноименный файл, в котором сохраняется ответ удаленного хоста, сформированный файл затем запускается через CreateProcess. Далее открывается соединение с vx9.users.freebsd.at и выполняется запуск шелла.
