A Xirtam.A féreg elsősorban elektronikus levelek mellékleteként terjed, de képes hálózati meghajtókon, illetve cserélhető adattárolókon keresztül is fertőzni.

A Xirtam.A rengeteg fájlt hoz létre a fertőzött számítógépeken, és igyekszik olyan meghajtókra felkerülni, amelyek mögött cserélhető adattároló van. Ezekre egy autorun.inf fájlt is felmásol, amely biztosítja a féreg automatikus elindulását.

A Xirtam.A .htm kiterjesztésű fájlokból gyűjti össze a terjedéséhez szükséges email címeket, majd azokra továbbküldi saját magát. Ezt követően feltérképezi a hálózati meghajtókat.

Amikor a Xirtam.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%UserProfile%\Local Settings\Temp\Reply.exe
%UserProfile%\Local Settings\Temp\spoolsv.tme
%UserProfile%\Local Settings\Temp\taskmgr.txt
%UserProfile%\spoolsv.exe
%Windir%\Matrix.scr
A:\Recycled.exe
E:\Recycled.exe
E:\Secret\Nice Sex.exe
E:\Autorun.inf
F:\Recycled.exe
F:\Fuck\Nice Sex.exe
F:\Autorun.inf
G:\Recycled.exe
G:\911 Death\911.exe
G:\Autorun.inf
H:\Recycled.exe
H:\VDO\Nice Sex.exe
H:\Autorun.inf
I:\Recycled.exe
I:\Data Fair\Nice Sex.exe
I:\Autorun.inf
J:\Recycled.exe
J:\Nice Sex.exe
J:\Autorun.inf

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
kulcsához hozzáadja a
“NeverShowExt” = “” értéket.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer\Run
kulcsához hozzáadja a
“Task” = “%UserProfile%\spoolsv.exe” értéket.

4. A regisztrációs adatbázis
HKEY_CURRENT_USER\Control Panel\Desktop
kulcsához hozzáadja a
“SCRNSAVE.EXE” = “C:\WINDOWS\Matrix.scr” értéket.

5. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer\Run
kulcsához hozzáadja a
“Task” = “%UserProfile%\spoolsv.exe” értéket.

6. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\Control Panel\Desktop
kulcsában szereplő
“ScreenSaveActive” = “1” értéket.

7. A cserélhető adattárolókon létrehoz, vagy módosít egy autorun.inf fájlt, amelynek révén az adattároló behelyezésekor automatikusan elindul.

8. .htm kiterjesztésű állományokból összegyűjti az email címeket.

9. Az összegyűjtött email címekre továbbküldi saját magát:

A fertőzött levelek tárgya:
Reply DataFolder

A fertőzött levelek mellékletéhez tartozó fájl neve:
Reply.exe

10. A hálózati meghajtók listáját eltárolja az alábbi állományba:
%UserProfile%\Local Settings\Temp\taskmgr.txt.