Az MSNworm.GM féreg azonnali üzenetküldőkön keresztül, különböző képállományok mögé elrejtőzve igyekszik minél több számítógépre felkerülni.

Az MSNworm.GM féreg — hasonlóan az eddigi variánsokhoz — elsősorban a Windows Live Messenger azonnali üzenetküldő szolgáltatást szemeli ki magának, és ennek igénybevételével igyekszik terjedni. Amennyiben a fertőzött számítógépen található futó Windows Live Messenger alkalmazás, akkor az ahhoz tartozó címlista alapján üzeneteket kezd el küldözgetni. Ezek mellé egy fényképnek látszó állományt is csatol. Amennyiben azt a felhasználó megnyitja, akkor egy megtévesztési célokat szolgáló hibaüzenet révén arról értesül, hogy a képet nem lehet megtekinteni. Azonban ez idő alatt a féreg már elkezdi letölteni a saját fájljait, majd megfertőzi a számítógépet.

Az MSNworm.GM féreg a Windows könyvtárába másolja be a saját állományát, majd módosítja  a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindulása után automatikusan be tudjon töltődni.

Vírushíradó - Üzenget az MSNworm féreg

Amikor az MSNworm.GM féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlt:
    %Windows%\FXSTALLER.EXE
  2. A %Windows%\temp könyvtárába bemásol egy BURIM.EXE nevű állományt.
  3. A regisztrációs adatbázisban létrehozza a következő értéket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Windows UDP Control Center = fxstaller.exe
  4. Megpróbál a Windows Live Messenger alkalmazáson keresztül terjedni.
  5. A címlistában szereplő személyek számára üzeneteket küldözget, amelyek egy mellékelt képállomány megnyitására próbálják rávenni a címzetteket.
  6. Amikor az üzenetekhez tartozó állományt a felhasználó megnyitja, akkor egy üzenetablak jelenik meg a következő szöveggel:
    “Picture can not be displayed.”
  7. Letölt egy kártékony fájlt a számítógépre.