HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Todas estas entradas, contienen la instrucción:

"Unchained Infection" = WinDir\setup_.exe

donde "WinDir" es el nombre del directorio de Windows.

El gusano también registra este archivo en la sección auto-run de WIN.INI: 

[windows]
...
run=WinDir\setup_exe
...

Si el gusano falla al instalar SETUP_.EXE dentro del directorio de Windows, él se copia a si mismo con el nombre de DILBERTDANCE.JPG.EXE.

El gusano permanece en Windows corriendo como una aplicación en segundo plano (Win 9x) o como un servicio (Win NT), y ejecuta sus dos rutinas. Una de ellas es activada cada 40 minutos, la segunda, una vez por cada hora.

La primer rutina, intenta enviar mensajes infectados usando archivos VBS (requiere Windows Scripting Host -WSH- instalado en su sistema, vea como deshabilitar esto al final de nuestro boletín), y como novedad, también libera cinco virus más.

La segunda rutina, infecta las redes locales.

Para enviar mensajes infectados, el worm utiliza el MS Outlook y el archivo SENDMAIL.VBS, un script escrito en Visual-Basic-Script (VBS). Este script es el encargado de recolectar todos los mensajes en la bandeja de entrada del Outlook, y luego contesta a las primeras 20 direcciones con este mensaje:

Hi "sendername"
Received your mail, and will send you a reply ASAP
Until then, check out this funny Dilbert Dance (attached)

Archivo adjunto: DILBERTDANCE.JPG.EXE

donde "sendername" es el nombre del remitente que envió el mensaje. El gusano también marca como "contestados" los mensajes de esas primeras 20 entradas a las que se envía, con el carácter correspondiente a TAB, evitando volver a responder esos mensajes con su copia infectada.

También guarda todas las direcciones afectadas en el archivo WINDOWS.EXE (que no es un ejecutable) en el directorio de Windows, y no vuelve a enviarle mensajes a esas personas nuevamente.

El gusano evita enviar mensajes infectados a direcciones que contengan: .mil, .gov, admin, master, abuse.

Para propagarse a través de una red local, el gusano busca todos los recursos compartidos (mapeados), selecciona a los que permiten ser leídos y escritos (reading/writing), y dentro de estos, busca los directorios \WINDOWS y \WINNT. Si alguno de estos directorios existe, el gusano se copia a si mismo en ellos, con el mismo nombre anterior (SETUP_.EXE) y modifica el registro y/o el archivo WIN.INI de las máquinas remotas, del mismo modo que lo hizo en la actual.

De este modo, el worm se ejecutará en estas máquinas cada vez que una de ellas se reinicie.

El gusano contiene copias de cinco destructivos virus en su propio código. Dependiendo de la fecha del sistema, el worm libera los siguientes virus:

  Fecha                  Virus           Archivo liberado
   7 de cualquier mes:   Win32.Bolzano   BOLZANO.EXE
  15 de cualquier mes:   Win95.CIH       CIH_15.EXE
  17 de cualquier mes:   VBS.FreeLink    LINKS.VBS
  22 de cualquier mes:   Win95.SK        WINSK.COM
  31 de cualquier mes:   Wni32.AOC       BEE_AOC.EXE