A Mixor.I féreg elsősorban olyan elektronikus levelekben terjed, amelyek első ránézésre a CNN-től érkeznek, de valójában a mellékletük magát a kártékony programot tartalmazza.

A Mixor.I készítői a felhasználókat azzal igyekeznek megtéveszteni, hogy a fertőzött emailek üzenetébe látszólag a CNN-től származó információkat jelenítenek meg. Majd közlik a felhasználóval, hogy a csatolt fájl megnyitásával további hírekhez juthatnak. A valóságban természetesen erről szó sincs, hiszen a melléklet megnyitásakor nem egy hír jelenik meg, hanem a féreg indul el.

A Mixor.I legfőbb veszélye, hogy hatástalanítja a Windows beépített tűzfalát, majd megpróbálja leállítani a biztonsági szoftvereket. Ezzel további kártékony programoknak szolgáltatja ki a fertőzött számítógépeket.

Amikor a Mixor.I féreg elindul, akkor az alábbi műveleteket hatja végre:

1. Létrehozza a következő fájlt:
%System%\wservice.exe

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja az
“UpdateService” = “%System%\wservice.exe” értéket.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess
kulcsához hozzáadja a
“Start” = “4” értéket.
Ezzel megpróbálja hatástalanítani a Windows tűzfalát

4. A Windows címjegyzékéből email címeket gyűjt össze.

5. Az összegyűjtött email címekre elküldi saját magát.

A fertőzött levelek tárgya lehet:
One of the following:
White house news!
URG
ATTN TO EVERYBODY!
READ AND RESEND ASAP!
Incredible news!
NEWS!
ATTN
URGENT NEWS!

6. A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
CNN latest news.exe
CNN news reader.exe
WWW-CNN-COM.exe
cnn agent.exe
cnn site explorer.exe
cnn.exe
news agent.exe
news reader.exe
read me.exe
webnews agent.exe

7. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.