4. Действия червя во время работы в сети Интернет.
Через определенные промежутки времени червь пытается открывать 53-й порт TCP/IP-протокола 
(порт по умолчанию) и в том случае, если подключение к Интернету активно и данный порт 
не занят др. программой, расшифровывает и загружает 2 какие-то ссылки, по которым 
скачивает в компьютер др. вредоносные файлы (информацию о 3-й ссылке см. в р-ле 6 этого описания).
Также он открывает произвольный порт TCP/IP-протокола и пытается установить соединение с каким-то 
сервером (ссылка также содержится в коде червя в зашифрованном виде). 
Судя по всему, вирус передает на этот сервер сетевой IP-адрес зараженного компьютера, 
номер открытого TCP-порта, а также список доменных имен локальных компьютеров, 
подключенных к зараженному. 
Затем ждет команд злоумышленников: отправка/принятие данных производится вирусом за счет 
использования возможностей системной библиотеки netapi32.dll, а команды злоумышленников с 
удаленного сервера передаются вирусу в форме сетевых API-функций, поддерживаемых ОС Windows. 
Поэтому вирус дополнительно резервирует часть памяти, отведенную в системе под буфер обмена API-данными.