W32/Explorer jest nowym robakiem internetowym, napisanym w języku Borland Delphi, rozprzestrzeniającym się przez pocztę elektroniczną wewnątrz sieci lokalnych i za pośrednictwem Internetu. Na zainfekowanym komputerze robak tworzy stronę www, dzięki czemu może przenosić się także przez Internet, jeśli tylko komputer jest widoczny w sieci www (jako serwer lub komputer z publicznym adresem IP).

Pocztą elektroniczną robak rozsyła się jako plik załącznika do wiadomości o temacie ".". Nazwa pliku to: psecure20x-cgi-install.version6.01.bin.hx.com.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Po otwarciu pliku robak, w celu zmylenia użytkownika, tworzy w katalogu, w którym zapisany jest załącznik, pusty plik o nazwie IPHIST.DAT. Jednocześnie zamienia program EXPLORER.EXE w katalogu Windows/System na własną kopię. Następnie odebrany plik załącznika jest kasowany, a robak zapisuje się w pamięci komputera.

W32/Explorer wykorzystuje także kanał IRC, rozsyłając do jego użytkowników informację: FREE PORN: http://free:[email protected]:8180 (w miejsce x.x.x.x podawany jest adres IP zarażonego komputera). Po otwarciu strony pojawia się następujący komunikat:

Browser Plugin Required:

Click HERE and choose "Run" to install.

Jeśli użytkownik wybierze instalację, robak umieści swoją kopię na jego komputerze, modyfikując rejestr Windows w ten sposób, aby wirus był uruchamiany przy każdym starcie systemu.

Pod adresemhttp://service.pandasoftware.es/library/virusCard.jsp?Virus=W32/Explorer można znaleźć szczegółowy opis działania worma oraz sposób jego usunięcia.