La muestra obtenida fue enviada desde España (+2 GMT) 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado en Visual Basic, con una extensión de 116 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book). 

El mensaje tiene las siguientes características:

Asunto: [nombre_ del_destinatario], [mensaje_aleatorio] 
Contenido: [nombre_del_destinatario], THE WAR IS NOT A JOKE !... 
THERE IS ONE BUILDING UP RIGHT NOW. Let's Unite In This Horrible Kaos. ... 
Fight With Us....!!! ...And Let Us Remember Those Lost Souls ! 
WE COUNT ON YOU ! 
Greetings, 
World War Veterans. 
PS- See Attachments For War Info. 
Anexado: USA.VS.IRAQ.scr, Plug-In_EXT.dll 

Al ejecutar el archivo anexado, el gusano se auto-copia a las siguientes rutas:

• C:\%Windir%\WTC32.scr
• C:\%Windir%\Notepad.exe
• C:\Autorun.com 

Asimismo agrega valores a la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner" = "YOU ARE A VICTIM OF THE RegisteredOrganization WORLD TRADE CENTER ProductName WtC-WoRm-LaMeR"

Y para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"W32Tc" = "%Windir%\WTC32.scr"

Para evitar producir otro envío masivo de mensajes de correo marca una señal en la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
WtcSnd = 1 

Para que el gusano se ejecute cada vez que el usuario se conecte a Internet Explorer genera esta llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "%Windir%\WTC32.scr"

El gusano crea varias copias de sí mismo en el directorio %Windir% y la carpeta %System% con los nombres  BkUp[número_aleatorio_de 5 cifras].exe 

Para difundirse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC, el cual contiene instrucciones para auto-enviar copias del archivo infectado a todos los usuarios que se encuentren conectados en una misma sesión de chat del sistema infectado.

Sus payloads son los siguientes:

• Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook y la Libreta Global de Windows.
• El gusano cambia la página de Inicio y se activa cuando se accede al Internet Explorer.
• Modifica el SCRIPT.INI del software mIRC e infecta a los usuarios de una misma sesión de Chat.
• Trunca los archivos .EXE y .SCR de todas las unidades de disco, reemplazándolos con su código viral.
• Deja inoperativo al sistema, el cual deberá ser re-instalado.

PER ANTIVIRUS® versión 8.0 y 8.1 con registro de virus al 22 de Mayo del 2003 detecta y elimina eficientemente este gusano.