Зараженный документ SUPPL.DOC содержит всего один макрос Document_Open, который автоматически исполняется MS Word при открытии документа. Этот макрос копирует свой документ в системный каталог Windows с именем ANTHRAX.INI (этот файл затем используется как оригинал при рассылке зараженных сообщений), затем червь создает на диске свою DLL-компоненту с именем DLL.TMP. Код этой компоненты хранится в зараженном документе в упакованном виде и распаковывается через временный файл DLL.LZH.
Затем червь записывает команды переименования в файл WININIT.INI (эти команды обрабатываются Windows при очередной перезагрузке). Данные команды переименовывают библиотеку сетевого доступа Windows WSOCK32.DLL в имя WSOCK33.DLL и замещают WSOCK32.DLL DLL-компонентой червя из файла DLL.TMP. В результате этого при последующей загрузке Windows активизирует и использует код червя вместо "настоящей" библиотеки.
Вложенный в зараженное сообщение EXE-файл (тело червя) является выполняемым файлом Win32 длиной около 12K. При запуске этого EXE-файла червь копирует себя в каталог Windows с именем FIX2001.EXE и регистрирует этот файл в поле автозапуска программ "Run=" системного реестра:
HKEY_LOCAL_MASHINE\Software\Microsoft\Windows\CurrentVersion\Run Fix2001 = "FIX2001.EXE"
Для того, чтобы скрыть свою инсталляцию червь выводит сообщение:
При внедрении своего кода в систему червь копирует себя под именем KERNEL.EXE в каталог Windows (в случае Win95/98) или в системный каталог Windows (в случае WinNT) и регистрирует себя в системном реестре как авто-исполняемую программу:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run SysClock=kernel.exe
Червь также имеет процедуру дополнительной установки, которая устанавливает копии червя на все доступные диски. Эта процедура описывается ниже.
Для инсталляции своей копии в систему червь копирует себя в каталог Windows под именем _SETUP.EXE и в системный каталог Windows под именем EXPLORE.EXE, например:
C:\WINDOWS\_SETUP.EXE C:\WINDOWS\SYSTEM\EXPLORE.EXE - не "EXPLORER.EXE"!
Затем червь таким образом регистрируется в конфигурационном файле Windows, что при каждом запуске Windows автоматически выполняет копию червя. Для этого червь прописывает в конфигурационный файл команду автозапуска "run=", которая указывает на одну из копий червя - _SETUP.EXE или EXPLORE.EXE. В зависимости от версии Windows процесс регистрации происходит одним из двух способов. Червь регистрирует себя либо в файле WIN.INI (в случае Win95/98) или в системном реестре (под WinNT).
В случае Win95/98 в файле WIN.INI секция [windows] дополняется новым значением команды "run=":
файл WIN.INI:
[windows] run=[имя файла-червя]
В случае WinNT запись происходит в ключ системного реестра:
HKEY_CURRENT_USER Software\Microsoft\Windows NT\Current Version\Windows: run=[имя файла-червя]
В зависимости от различных условий червь регистрирует там одну из своих копий, например:
run=_setup.exe run=C:\WINDOWS\SYSTEM\Explore.exe или run=C:\WINNT\SYSTEM32\Explore.exe
Затем червь может менять имя своего авто-запускаемого файла на второе, затем заменять его на первое, и т.д. Таким образом в конфигурационных файлах могут быть обнаружены оба варианта строки "run=".