Je to Φerv, Üφriaci sa ako prφloha (attachment) emailov. S·bor v prφlohe mß nßzov HAPPY99.EXE a jeho pri spustenφ zobrazφ okno s titulkom äHappy New year 1999!!ô v ktorom vidie¥ grafick² efekt oh≥ostroja. S·Φasne sa Φerv nainÜtaluje do systΘmu a prevezme kontrolu nad odosielanφm elektronickej poÜty. To mu umo₧nuje dalÜie Üφrenie t²m, ₧e sa pripojφ k odosielan²m sprßvam ako prφloha.
Celkovß dσ₧ka tela Φerva je 10000 bajtov, priΦom napßda operaΦnΘ systΘmy Windows 95/98, pod operaΦn²m systΘmom Windows NT Φerv nefunguje kv⌠li chybßm. Po spustenφ sa skopφruje pod menom SKA.EXE do adresßra s Windows, kde eÜte vytvorφ s·bor SKA.DLL. Skopφruje s·bor WSOCK32.DLL do WSOCK.SKA a modifikuje s·bor WSOCK32.DLL. Ak sa mu to vÜak nepodarφ (naprφklad sa s·bor prßve pou₧φva), zabezpeΦφ jeho modifikßciu pri najbli₧Üom reÜtarte systΘmu pomocou vytvorenia novΘho kl·Φa v äsystem registryô.
Modifikßcia s·boru WSOCK32.DLL, ktor² sa aktivuje po pripojenφ k internetu, dßva Φervu prφstup k dvom systΘmov²m udalostiam : odosielaniu dßt a nadvΣzovaniu spojenia. UvedenΘ sa t²ka portov 25 (SMTP û elektronickß poÜta) a 119 (NNTP û diskusnΘ skupiny). Pri spojenφ na niektorom z t²chto dvoch portov aktivuje s·bor SKA.DLL, vytvorφ nov· sprßvu, ku ktorej pripojφ s·bor HAPPY99.EXE a odoÜle ju do internetu. V hlaviΦke sprßvy sa nachßdza riadok s textom:
X-Spanska: Yes
╚erv si archivuje v adresßri s Windows v s·bore LISTE.SKA zoznam adries, na ktorΘ odoslal svoje k≤pie. V jeho tele sa nachßdzaj· textovΘ re¥azce, z ktor²ch je vΣΦÜina zak≤dovanß:
Is it virus, a worm, a trojan ? MOUT-MOUT Hybrid (c) Spanska 1999.
Happy New Year 1999 !!
Begin 644 Happy99.exe end
\Ska.exe \liste.ska
\wsock32.dll \Ska.dll
Proti tomuto Φervu existuje jednoduchß ochrana a je ho mo₧nΘ odstrßni¥ aj manußlne. Ak mß s·bor WSOCK32.DLL nastanev² atrib·t Read-Only (len na Φφtanie), Φerv nedokß₧e tento s·bor modifikova¥. Pre odstrßnenie Φerva zo systΘmu je potrebnΘ zmaza¥ v adresßri, v ktorom je nainÜtalovan² operaΦn² systΘm Windows, s·bory SKA.EXE, WSOCK32.DLL, SKA.DLL a premenova¥ s·bor WSOCK32.SKA na WSOCK32.DLL. Pre zabrßnenie nßhodnej reinfekcie je vhodnΘ zmaza¥ aj p⌠vodn² s·bor HAPPY99.EXE.