A Posse féreg az MSN Messenger azonnali üzenetküldő szolgáltatásokon való terjedésre specializálódott, és kártékony fájlok letöltését végzi a fertőzött számítógépeken.

A Posse féreg az MSN Messenger azonnali üzenetküldőn bukkant fel, és ott próbál megtévesztő üzenetek révén terjedni. A kártevő minden olyan címre elküldi magát, amely az MSN Messenger címjegyzékében szerepel. Ezt követően ezen felhasználók számára egy zip fájlt is megpróbál átküldeni, amely tartalmazza a féreghez tartozó állományokat is.

A Posse feladatai közé tartozik, hogy a fertőzött számítógépekre különböző kártékony állományokat is letöltsön az Interneten keresztül, és azokat elmentse a C meghajtó gyökér könyvtárába.

Amikor a Posse féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%System%\sp2.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”WindowsSp2″ = “C:\WINDOWS\System32\sp2.exe”

3. A regisztrációs adatbázisban létrehozza vagy módosítja a következő kulcsokat:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Internet Settings”ProxyEnable” = “00 00 00 00”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableTaskmgr” = “1”

4. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System

5. Csatlakozik egy weboldalhoz, és onnan letölt egy fájlt, amit elment a C meghajtó gyökér könyvtárába server.exe néven.

6. Csatlakozik egy weboldalhoz, és onnan letölt egy fájlt, amit elment a C meghajtó gyökér könyvtárába fotos_posse.zip néven.

7. MSN Messengeren keresztül megpróbál terjedni. A féreg az alábbi üzenetet küldözgeti:
“Hola espero q te gusten las fotos 😉 me las hice ayer (y)”

8. Megpróbálja továbbítani a fotos_posse.zip állományt.