Как сообщает "Лаборатория Касперского", на данный момент обнаружено две разновидности червя. Их отличия состоят лишь в теме и тексте рассылаемых сообщений - они либо предлагают либо защиту от вирусов, либо просмотр порнографии.

Первая разновидность червя: Redesi.a:

Тема письма случайным образом выбирается из списка:

FW: Microsoft security update.
FW: Security Update by Microsoft.
FW: IT departments on state of HIGH ALERT.
FW: Important news from Microsoft.
FW: Stop terrorists computer viruses reign.
FW: Terrorists release computer virus.
FW: Emergency response from Microsoft Corp.
FW: Terrorist Emergency. Latest virus can wipe disk in minutes.
FW: Microsoft Update. Final Release Candidate.
FW: New computer virus.

Тело письма:

Just recieved this in my email
I have contacted Microsoft and they say it's real !

-----Original Message----- From: Microsoft Support Desk
[mailto:Support@microsoft.com] Sent: 17 October 2001 15:21
Subject: Security Update

Due to the recent spate of email spread computer viruses Microsoft Corp has released a security patch. Please apply the attached file to your Windows computer to stop any futher spread or these malicious programs. Regards Microsoft Support

Примечательно, что адрес Support@microsoft.com уже использовался другим вирусом, распространявшимся через SMTP-протокол.

Вторая разновидность червя: Redesi.b

Тема письма случайным образом выбирается из списка:

Kev Gives great orgasms to ladeez!! -- Kev
hell is coming for u, u will be sucked into a bottomless pit!!! -- Gaz
Scientists have found traces of the HIV virus in cows milk...here is the proof -- Will
Yay. I caught a fish -- Six
I don't want to write anything but Si is bullying me. -- Jim
I want to live in a wooden house -- Arwel
Michelle still owes me г10 ... shit ! -- Si
Why have I only got cheese and onion crisps? I hate them !! -- Si
A new type of Lager / Weed variant...... sorted !
My dad not caring about my exam results -- by Michelle

Тело письма: heh. I tell ya this is nuts ! You gotta check it out !

Название вложенного файла случайным образом выбирается из списка:
Si.exe
ReDe.exe
Disk.exe
Common.exe
UserConf.exe

При запуске зараженного вложенного файла интернет-червь внедряется на компьютер, получает доступ к Microsoft Outlook и при помощи этой почтовой программы рассылает свои копии всем получателям из адресной книги. 11 ноября 2001 г. червь активизирует встроенную деструктивную функцию и уничтожает данные на диске С: зараженного компьютера. Для этого он записывает в файл AUTOEXEC.BAT команду форматирования жесткого диска, которая автоматически выполняется при следующей перезагрузке компьютера. Необходимо заметить, что деструктивная функция срабатывает только в случае, если на компьютере жертвы короткая системная дата соответствует форматам "dd/mm/yy" или "mm/dd/yy".