포트 : 80, 443
포트 80번에 연결을 시도하고 아파치 시스템을 확인하는 서버에게 부적절한 GET request를 보낸다. 원격 시스템상의 SSL 서비스에 익스플로잇 코드를 보내기 위해 아파치 시스템을 발견하면 포트 443 번에 연결을 시도한다.
이 웜은 인텔 플렛폼상에서만 실행되는 코드를 가지고 있으며, 이 코드는 실행되기 위해 /bin/sh을 필요로 한다. 이 코드의 이름은 ."bugtraq.c"으로 되어있어 ls로 확인시 "-a" 옵션을 통해서만 확인이 가능하며, gcc를 사용해 컴파일된후 /tmp 디렉토리내에 ".bugtraq"이란 이름으로 위치하게 된다.
또한 웜은 IP 어드레스를 파라미터값으로 참조하여 실행되는데, 이 IP 어드레스는 공격할 머신의 IP주소이고 서비스 거부 공격을 목적으로 웜에 감염된 시스템 네트워크를 만들기 위해 사용된다. 각 시스템은 명령을 받기 위해 UDP 포트 2002번을 listen상태로 만든다.
아파치 시스템을 랜덤하게 스캐닝함으로써 이 웜은 새로운 아파치 시스템을 스캔하기 위해 아래의 IP set을 사용한다.
3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239
