4. Действия червя во время работы в сети Интернет. Через определенные промежутки времени червь пытается открывать 53-й порт TCP/IP-протокола (порт по умолчанию) и в том случае, если подключение к Интернету активно и данный порт не занят др. программой, расшифровывает и загружает 2 какие-то ссылки, по которым скачивает в компьютер др. вредоносные файлы (информацию о 3-й ссылке см. в р-ле 6 этого описания). Также он открывает произвольный порт TCP/IP-протокола и пытается установить соединение с каким-то сервером (ссылка также содержится в коде червя в зашифрованном виде). Судя по всему, вирус передает на этот сервер сетевой IP-адрес зараженного компьютера, номер открытого TCP-порта, а также список доменных имен локальных компьютеров, подключенных к зараженному. Затем ждет команд злоумышленников: отправка/принятие данных производится вирусом за счет использования возможностей системной библиотеки netapi32.dll, а команды злоумышленников с удаленного сервера передаются вирусу в форме сетевых API-функций, поддерживаемых ОС Windows. Поэтому вирус дополнительно резервирует часть памяти, отведенную в системе под буфер обмена API-данными.