W32/Disemboweler es un gusano polimórfico bastante complejo que se envía a varias direcciones de correo obtenidas de distintas fuentes. Aparte de esto, infecta los archivos con extension EXE y SCR (salvapantallas) que encuentre en el disco duro o en las unidades de red que se encuentren disponibles. Al tratarse de un virus polimórfico la infección cambia con cada fichero.

          Por otra parte este gusano envía mensajes de correo electrónico con asunto y cuerpo aleatorio. Estos mensjes incorporan un fichero adjunto infectado. Una vez transcurrido un mes desde la fecha en la que se produjo la infección W32/Disemboweler lleva a cabo su payload que es realmente destructivo. En los sistemas NT o Windows 2000 este payload consiste en sobreescribir todos los ficheros de las unidades locales y de red con el texto YOUARESHIT. Sin embargo, si el sistema operativo instalado es Windows 95, el gusano escribe en sectores del disco duro y borra la CMOS como hacía el virus W32/CIH.
  
  
Modo de propagación: 
  
          W32/Disemboweler se transmite a través de mensajes de correo electrónico. El asunto y el cuerpo de estos mensajes son aleatorios. Los destinatarios son escogidos de los mensajes de las siguientes aplicaciones: Outlook Express, Internet Mail, y Netscape Messenger. (ficheros con extensiones MDX y DBX). Por otra parte, también busca direcciones en las libretas de direcciones de Windows (ficheros WAB) así como en los ficheros con extension JS. 

          Las direcciones que consigue son guardadas a modo de log dentro de su código. Ademas, crea un fichero con extension DAT con un nombre aleatorio que también utiliza para guardar direcciones. 

          El asunto y el cuerpo del mensaje son parte del texto de un fichero con extension TXT, JS o DOC, escogido aleatoriamente entre los ficheros con estas extensiones que se encuentren en el disco duro. También puede ser obenido de una lista de frases que incorpora. Estas son las siguientes:

sentences you, sentences him to, sentence you to, ordered to prison, convict, judge, circuit judge, trial judge, found guilty, find him guilty, affirmed, judgment of conviction, verdict, guilty plea, trial court, trial chamber, sufficiency of proof, sufficiency of the evidence, proceedings, against the accused, habeas corpus, jugement, condamn, trouvons coupable, Ó rembourse, sous astreinte, aux entiers dÚpens, aux dÚpens, ayant dÚlibÚrÚ, le prÚsent arrÛt, vu l,27h,arrÛt, conformÚment Ó la loi, exÚcution provisoire, rdonn, audience publique, a fait constater, cadre de la procÚdure, magistrad, apelante, recurso de apelaci, pena de arresto y condeno, mando y firmo, calidad de denunciante, costas procesales, diligencias previas, antecedentes de hecho, hechos probados, sentencia, comparecer, juzgando, dictando la presente, los autos, en autos, denuncia presentada.

          El mensaje enviado llevará un fichero adjunto infectado. Uno de cada cinco mensajes enviados llevará adjuntos también documentos u otros ficheros.
  
 
Síntomas de infección: 

          Este virus es capaz de realizar acciones muy destructivas. Su payload tiene lugar un mes después de la fecha en la que se produjo la infección. Cuando se cumple esta condición, el virus llevará a cabo las siguientes acciones: 

          Si se trata de sistemas Windows NT o Windows 2000, el virus sobreescribe todos los ficheros de las unidades locales y de red con el siguiente texto: YOUARESHIT

          Si se trata de sistemas con Windows 95 instalado, el virus escribe en sectores del disco duro y borra la CMOS al igual que el virus W32/CIH.

          A continuación, muestra el siguiente mensaje en pantalla:

Another haughty bloodsucker YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT

          El gusano utiliza tecnicas anti-debug, comprueba si se está siendo traceado o si se encuentra activo algún otro debug tipo Softice. Infecta ficheros con extension EXE y SCR (salvapantallas) que se encuentran tanto en las unidades locales como en las unidades de red en caso de que existan. Al tratarse de un virus polimórfico el virus varía en cada infección haciendo más díficil su detección y posterior desinfección.

          Cuando se ejecuta un fichero infectado, el gusano busca el programa EXPLORER.EXE en la memoria. A continuación, captura (hookea) la función TranslateMessage. Cuando se llama a esta función, se crea un thread o hilo de ejecución. Este thread espera aproximadamente tres minutos antes de llevar a cabo sus acciones (envirarse por correo e infectar los ficheros EXE y SCR).

          Para ser ejecutado siempre que se reinicia el sistema, el gusano introduce una entrada en el registro de Windows apuntando al fichero infectado. Esta entrada la introduce en el siguiente directiorio:

          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

          Por otra parte, busca en todas las unidades locales y de red ficheros con el nombre WIN.INI en los siguientes directorios: WINNT, WINDOWS, WIN95, WIN98

          En caso de que encuentre alguno introduce el nombre de alguno de los ficheros infectados en la siguiente sección: 

          [windows]
          run=< nombrefichero >.EXE

          Finalmente es ineresante comentar que el código del virus contiene la siguiente cadena de texto que hace referencia al nombre del virus y su procedencia:

          ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden)