A Culler.A féreg elsősorban az MSN Messenger azonnali üzenetküldőn keresztül próbál meg terjedni, és igyekszik használhatatlanná tenni a biztonsági alkalmazásokat.

A Culler.A féreg néhány fájl létrehozása, és a regisztrációs adatbázis módosítása után elérhetetlenné teszi a Windows Feladatkezelőjét. Ezt követően megpróbálja leállítani a biztonsági alkalmazásokat, és ezzel meggyengíteni a számítógépek védelmét.

A Culler.A a fertőzött számítógépeken megvizsgálja, hogy elérhető-e MSN Messenger alkalmazás, és ha igen, akkor azon keresztül megpróbál minél több üzenetet küldeni. Ezek szövegébe egy hivatkozást is belecsempész, amely olyan kártékony weboldalra mutat, ahonnan a kártékony program fájljai töltődnek le.

Amikor a Culler.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\Avconsol.exe
%System%\zap.exe
%System%\hide32.exe
%System%\ttt.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”AVantivirus” = “%System%\Avconsol.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”Servicewin” = “%System%\Hide32.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”System” = “%System%\Zap.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”WinService” = “%Service%\Ttt.exe”

3. Módosítja a regisztrációs adatbázis következő bejegyzését:
HKEY_CURRENT_USER\software\microsoft\windows\currentve rsion\policies\system”disabletaskmgr” = “1”
Ezzel elérhetetlenné teszi a Windows Feladatkezelőjét.

4. Bezárja a biztonsági alkalmazásokat.

5. Megjelenít egy dialógus ablakot a következő tartalommal:
“Component “COMDLG32.OCX” or one of its dependencies no correctly registered a file is missing or invalid.”

6. Megpróbál néhány weboldalt letölteni.

7. Kártékony weboldalakra mutató hivatkozásokat tartalmazó üzeneteket küld MSN Messengeren keresztül.