В распоряжение "Лаборатории Касперского" поступило несколько сообщений о его распространении в Голландии и России.

Для проникновения на компьютер Randon подключается к IRC-серверу или локальной сети, сканирует идентификационные данные зарегистрированных на нем пользователей, после чего через порт 445 устанавливает соединение с атакуемым компьютером и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз.

В случае успешного взлома системы Randon устанавливает в ней троянскую программу Apher, которая, в свою очередь, загружает с удаленного сайта остальные компоненты червя. В состав вредоносной программы входит 13 файлов, в числе которых есть и полноценный mIRC-клиент, позволяющий работать с IRC-каналами.

После проникновения в компьютер Randon устанавливает в системном каталоге Windows свои компоненты, регистрирует основной файл и mIRC-клиента в ключе автозапуска системного реестра Windows и запускает их на выполнение. Чтобы скрыть присутствие в памяти постороннего mIRC-клиента, Randon использует специальную утилиту HideWindows. Благодаря ей червь оказывается невидимым для пользователя, поэтому активный процесс Randon можно обнаружить только в диспетчере задач Windows.

Червь Randon не содержит никаких деструктивных функций. Вред, наносимый новым червем, заключается в создании на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов. Для защиты от червя достаточно загрузить последние обновления антивирусной программы или пользоваться длинными паролями доступа на компьютер, отмечают в "Лаборатории Касперского".