"Insekt" zwykle pojawia się w komputerze w postaci e-maila zatytułowanego "Hi, I sent you an eCard from BlueMountain.com". Do wiadomości załączony będzie plik BlueMountaineCard.pif. Drugim sposobem rozprzestrzeniania się robaka są sieci bezpośredniej wymiany plików peer-to-peer - W32.HLLW.Cult.B@mm ukrywa się w nich m.in. pod nazwami SMS_sender.exe, DivX 5.03 Codecs.exe, Download accelarator.exe, PaintShop Pro 7 Crack_By_Force.exe, ZoneAlarm Pro KeyGen.exe oraz Winupdate.exe.

Po uruchomieniu któregoś z wymienionych powyżej plików (pobranych z P2P lub załączonych do wiadomości e-mail) robak kopiuje się do katalogu System (lub System32) - zapisuje się tam jako Wuauqmr.exe. W32.HLLW.Cult.B@mm dodatkowo tworzy i udostępnia innym użytkownikom programu KaZaA fodler Jdfghtrg, w którym zapisuje swoje kopie pod podanymi wyżej nazwami (SMS_sender.exe itd.).

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Później robak zaczyna wysyłać swoje kopie pocztą elektroniczną - przesyła je na adresy e-mail, tworzone według wzoru: losowo generowana nazwa konta + jedna z poniższych domen:

chello.pl

Email.com

BellAtlantic.net

Verizon.net

Btinternet.com

Gmx.de

Gmx.net

sympatico.ca

wanadoo.fr

wanadoo.nl

planet.nl

adelphia.net

hotmail.com

earthlink.net

otenet.gr

chello.nl

Robak posiada pewne cechy konia trojańskiego (umożliwia nieautoryzowanym użytkownikom uzyskanie dostępu do systemu). Dlatego też ostatnim etapem jego działania jest połączenia się z hostami chat.planet.nl oraz www.chat-planet.nl w celu powiadomienia hakera o gotowości do pracy.

Jeśli podejrzewamy, że nasz komputer mógł zostać zainfekowany przez W32.HLLW.Cult.B@mm, należy sprawdzić system przy pomocy uaktualnionego programu antywirusowego - jeśli aplikacja wykryje kopie robaka, należy je usunąć.