Ces vers cherchent à se propager en se copiant sur tous les disques du réseau et en s'arrangeant pour être lancé automatiquement et silencieusement sur chacune de ces machines.
- Exemple, vers I-Worm.LovGate.w :
Parmi différentes méthodes de propagation (par e-mail, entre autres - spam viral), ce virus utilise les réseaux locaux.
Il fait en sorte que le dossier C:\windows\Media soit accessible via le réseau sous le nom de \\Media.
Il se copie sur tous les disques du réseau sous les noms suivants:
autoexec.bat
Cain.pif
client.exe
Documents and Settings.txt.exe
findpass.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Support Tools.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR.exe
xcopy.exe
Le ver tente de se copier sur toutes les machines du réseau local en utilisant le compte de l'Administrateur. Il utilise les mots de passe suivants pour obtenir l'accès au compte:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
0
000000
00000000
007
1
110
111
111111
11111111
12
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2003
2004
2600
321
54321
654321
666666
888888
88888888
a
aaa
abc
abc123
abcd
abcdef
abcdefg
admin
Admin
admin123
administrator
Administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
guest
Guest
home
Internet
Login
login
love
mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
password
Password
pc
pw
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
xp
xxx
yxcv
zxcv
Si le ver réussit à établir une connexion, il se copie dans \admin$\system32\NetManager.exe et exécute le fichier en tant que 'Windows Management NetWork Service Extensions'.
- Exemple : le vers I-Worm.Zafi.b
Le ver se copie dans tous les dossiers où le nom du dossier contient les mots suivants:
share
upload
Le nom de fichier du ver sera choisi parmi la liste suivante:
winamp 7.0 full_install.exe
Total Commander 7.0 full_install.exe