Po svΘm spuÜt∞nφ se virus zkopφruje do systΘmovΘho adresß°e Windows pod jmΘny LOAD.EXE a RICHED20.DLL (originßlnφ soubory jsou p°epsßny, pokud existujφ) Tyto soubory majφ nastaveny atributy system a hidden. Virus modifikuje takΘ soubor SYSTEM.INI a p°idßnφm nßsledujφcφho °ßdku zajistφ svoje spuÜt∞nφ p°i ka₧dΘm startu poΦφtaΦe:

[boot]
shell=explorer.exe load.exe -dontrunold

Pak virus vyhledßvß emailovΘ adresy dalÜφch ob∞tφ: krom∞ standardnφch zp∙sob∙ (Outlook, Exchange) takΘ prohledßvß soubory .HTM a .HTML.

Virus je takΘ schopen se Üφ°it po sdφlen²ch discφch v lokßlnφ sφti. Vytvß°φ soubory .EML a .NWS ve vÜech adresß°φch, ke kter²m mß prßvo zßpisu. Tyto soubory obsahujφ specißlnφ MIME formu viru, kterß m∙₧e b²t otev°ena programem Outlook. Virus tΘ₧ vyhledßvß strßnky HTML a ASP na vzdßlenΘm poΦφtaΦi a pokud n∞jakΘ nalezne, vytvo°φ soubor  README.EML a na konec webovΘ strßnky p°idß krßtk² program v Javascriptu, kter² p°i prohlφ₧enφ danΘ strßnky otev°e soubor README.EML. Virus takΘ otevφrß vÜechny lokßlnφ disky pro sdφlenφ po lokßlnφ sφti.

Virus kontaktuje poΦφtaΦe na nßhodn²ch IP adresßch a zjiÜ¥uje, zda se nejednß o IIS web server, kter² obsahuje bezpeΦnostnφ dφru znßmou jako Unicode vulnerability (ta byla vyu₧φvßna i wormem CodeBlue). Sna₧φ se i zjistit zadnφ vrßtka, otev°enß wormem  Win32/CodeRed.C. Pokud takov² server nalezne, hledß na n∞m soubory typu HTML/ASP, kterΘ pak modifikuje v²Üe popsan²m zp∙sobem. NapadenΘ servery pak mohou zobrazit strßnku, kterß u₧ivatele vybφzφ ke sta₧enφ a otev°enφ EML souboru, kter² obsahuje virus jako p°φlohu. Virus je schopen ve form∞ emailu proniknout i firewallem a infikovat kompletnφ intranetovΘ sφt∞.

Virus takΘ p°idßvß u₧ivatele GUEST do skupiny Administrators, tak₧e mß pak tento u₧ivatel plnou kontrolu nad poΦφtaΦem. TakΘ modifikuje klφΦe v registry tak, ₧e jsou skryta standardnφ rozÜφ°enφ souboru.
Virus obsahuje nßsledujφcφ text:

Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China

VÜichni u₧ivatelΘ, kte°φ pou₧φvajφ Microsoft Internet Explorer (ver 5.01 - 5.5 bez SP2) by m∞li co nejd°φve instalovat Microsoft patch pro Incorrect MIME Header. VÜichni u₧ivatelΘ provozujφcφMS IIS web server by m∞li co nejd°φve instalovat  Microsoft IIS souhrn² patch ze dne 15. srpna 2001.

Odstran∞nφ:

• sma₧te p°φsluÜnou °ßdku v souboru SYSTEM.INI a p°estartujte poΦφtaΦ
• sma₧te vÜechny napadenΘ soubory (p∙vodnφ soubory, kterΘ byly virem p°epsßny, je nutno obnovit ze zßlo₧nφ kopie)
• sma₧te vÜechny EML soubory, vytvo°enΘ virem
• zkontrolujte vÜechny soubory HTML/ASP zda neobsahujφ Φßst viru vytvo°enou v Javascriptu
• zkontrolujte, zda je u₧ivatel GUEST Φlenem skupiny ADMINITRATORS a pokud ano, zruÜte toto Φlenstvφ
• zkontrolujte nastavenφ sdφlenφ lokßlnφch disk∙
• nainstalujte zßplaty od Microsoftu, zmφn∞nΘ v²Üe

Zdroj: Alwil software - v²robce antiviru AVAST

Jedno·Φelov² antivirus:

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME: