Az MSNworm.GM féreg azonnali üzenetküldőkön keresztül, különböző képállományok mögé elrejtőzve igyekszik minél több számítógépre felkerülni.
Az MSNworm.GM féreg — hasonlóan az eddigi variánsokhoz — elsősorban a Windows Live Messenger azonnali üzenetküldő szolgáltatást szemeli ki magának, és ennek igénybevételével igyekszik terjedni. Amennyiben a fertőzött számítógépen található futó Windows Live Messenger alkalmazás, akkor az ahhoz tartozó címlista alapján üzeneteket kezd el küldözgetni. Ezek mellé egy fényképnek látszó állományt is csatol. Amennyiben azt a felhasználó megnyitja, akkor egy megtévesztési célokat szolgáló hibaüzenet révén arról értesül, hogy a képet nem lehet megtekinteni. Azonban ez idő alatt a féreg már elkezdi letölteni a saját fájljait, majd megfertőzi a számítógépet.
Az MSNworm.GM féreg a Windows könyvtárába másolja be a saját állományát, majd módosítja a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindulása után automatikusan be tudjon töltődni.
Amikor az MSNworm.GM féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlt:
%Windows%\FXSTALLER.EXE - A %Windows%\temp könyvtárába bemásol egy BURIM.EXE nevű állományt.
- A regisztrációs adatbázisban létrehozza a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows UDP Control Center = fxstaller.exe - Megpróbál a Windows Live Messenger alkalmazáson keresztül terjedni.
- A címlistában szereplő személyek számára üzeneteket küldözget, amelyek egy mellékelt képállomány megnyitására próbálják rávenni a címzetteket.
- Amikor az üzenetekhez tartozó állományt a felhasználó megnyitja, akkor egy üzenetablak jelenik meg a következő szöveggel:
“Picture can not be displayed.” - Letölt egy kártékony fájlt a számítógépre.