Данная вредоносная программа распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 4K.

Зараженные письма содержат:

Заголовок: различный
Текст: пустое HTML-письмо
Имя вложения: whatever.exe

Для запуска себя из зараженных писем червь использует брешь в системе безопасности почтового клиента (IFRAME), которую также использовал Интернет-червь "Nimda". При этом зараженное вложение активизируется без участия пользователя – при чтении или предварительном просмотре сообщения.

При активизации Aliz червь распаковывает свой основной код и передает на него управление. Данный код затем считывает адреса получателей зараженных писем из файла WAB (Windows Address Book), подключается к зарегистрированному в системе SMTP-серверу, отсылает зараженные письма и на этом заканчивает свою работу. Червь не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Т.е. является червем "однократного" действия. Червь никак не проявляет своего присутствия в системе.

Процедура отсылки зараженных писем содержит неточности, в результате чего червь оказывается неработоспособным на большинстве конфигураций почтовых клиентов и серверов.

"Удивительно, что вирус смог вызвать серьезную эпидемию спустя полгода после его обнаружения. Причина проста: пользователи по-прежнему игнорируют элементарные правила компьютерной безопасности и с завидным упорством наступают на одни и те же грабли. Видимо, многочисленные вирусные эпидемии пока так и не научили простым правилам – быть предельно осторожными с электронной корреспонденцией и вовремя устанавливать "заплатки", устраняющие бреши в защите данных используемых программ", – комментирует Евгений Касперский, руководитель антивирусных исследований Лаборатории Касперского.