További Infó cikkek
A Maldal Visual Basic 5. nyelven készült Windows PE EXE file, a hossza körülbelül 36.5 kB. Tevékenységét, mely meglehetősen szerteágazó, azzal kezdi, hogy összegyűjti az email címeket az Outlook címjegyzékéből és az MSN Messenger kapcsolatok listájából. Ezekre olyan egyforma leveleket küld, melyeknek levélszövege és melléklete is ugyanaz. Ha a mellékletet megnyitják, akkor először egy Karácsonyi üdvözlő ablak tűnik elő, ezzel palástolva a rosszindulatú ténykedést. Ezenkívül még számos tevékenységet végez, többek között bemásolja magát a Windows könyvtárba 'Christmas.exe' néven. Ez a másolata a féregnek a Registry bejegyzések közé is bekerül, így ez a kód minden
Windows induláskor le fog futni:
A féreg kikapcsolja a billentyűzetet és megkísérel minden állományt törölni a Windows System könyvtárban. A számítógép nevét 'ZaCker'-re állítja és az Internet Explorer kezdőlapját átállítja egy fertőzött weblap címére, amely a politikai üzenetet tartalmazza.
Ha a fertőzött lapot megjelenítik Internet Explorerben, a lapban szereplő JavaScript kód lefut, kihasználva egy ismert Microsoft biztonsági hibát. Ez a JS kód létrehoz egy "rol.vbs" állományt a Windows meghajtó gyökérkönyvtárában és lefuttatja azt. Ennél a pontnál a féreg megkísérel kitörölni az adott meghajtón néhány könyvtárat, olyanokat például amelyek az esetleges vírusirtókat tartalmazzák.
A féreg elhelyezi egy htm állományt a Windows System könyvtárba, ez tartalmazza a linket a féreg második részéhez. Ez az állomány a féreg "server.vbs" másolatával együtt bemásolódik minden egyes megosztott hálózati meghajtó gyökér könyvtárába. Ezután a féreg végigmegy minden helyi és hálózati meghajtón és hozzáfűzi a z állomány tartalmát minden egyes ".htm", ".html" és ".asp" kiterjesztésű állományhoz. A féreg ezenkívül törli az alábbi kiterjesztésű állományokat: ".lnk", ".zip", ".jpg", ".jpeg", ".mpg", ".mpeg", ".doc", ".xls", ".mdb", ".txt", ".ppt", ".pps", ".ram", ".rm", ".mp3" and ".swf".
Ezek törlése után a vírust lemásolja magát a törölt állományok nevén, de az eredeti névhez egy ".vbs" kiterjesztést fűz hozzá.
A Maldal megkeresi, hogy van-e telepítve a mIRC chat és ha megtalálja, annak beállításait ( a "mirc.ini" file) is felülírja. Ezek után a fertőzött felhasználó egy üzenetet fog megjeleníteni annak a felhasználónak a gépén, aki belép ugyanarra az IRC csatornára. Ez az üzenet egy olyan linket jelenít meg, amelyik a fertőzött weboldalra mutat.
Végül, ha a kezdeti fertőzés és script végrehajtása között már eltelik 30 perc, és a másodpercek száma egyenlő öttel, megkísérli a létező összes állományt törölni, megjelenít egy üzenet ablakot majd lezárja a Windows-t.
A második része a féregnek hasonlóképpen viselkedik, kivéve hogy még egy állományt elhelyez a Windows System alkönyvtárban, "outlook.vbs" néven és lefuttatja azt.
Ez a script fogja aztán a címjegyzékben szereplő címekre a fertőzött üzeneteket elküldeni.