A Symantec és az Isidor Biztonsági Központ egy olyan féregre hívta fel a figyelmet, amely ugyan terjedési technikáját tekintve korántsem nevezhető egyedülállónak, azonban olyan levelek révén próbál a felhasználók bizalmába férkőzni, amelyek igencsak megtévesztőek.

Az Ackantta féreg alapvetően olyan elektronikus levelekben terjed, amelyekhez egy zip kiterjesztésű állomány is tartozik. Amennyiben a felhasználó ezt megnyitja, akkor a számítógépe azonnal megfertőződhet. A kártevő terjesztői pedig gondoskodtak arról, hogy minél több felhasználó nézzen bele a csatolmányokba. Alapvetően háromféle üzenettel rendelkező emailekben bukkant fel eddig az Ackantta. Az egyik arról számol be, hogy a címzett barátja egy elektronikus képeslapot küldött, amelyet a melléklet megnyitásával tud megtekinteni. Egy másik olyan online játékkal kecsegtet, amelynek fődíja egy Bahamai utazás, valamint a nyertes élete végéig ingyen kortyolhatja a Coca Cola termékeit. A harmadik levéltípus pedig egy olyan üzenetet rejt, amely szerint a mellékletben egy kinyomtatható, McDonald's féle karácsonyi kupon található. Természetesen mindegyik email valótlanságokkal van tele, és a levelekhez tartozó fájlok csakis a féreg terjedését szolgálják.

Az Ackantta legfontosabb feladata, hogy naplózza a billentyűleütéseket, és a támadók számára hátsó kaput nyisson a fertőzött rendszereken. A féreg egyes esetekben cserélhető meghajtókon keresztül is képes terjedni.

Amikor az Ackantta féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\vxworks.exe
%System%\qnx.exe

2. A cserélhető meghajtókon létrehozza az alábbi állományokat:
autorun.inf
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\Desktop.ini

3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Wind River Systems" = "%System%\vxworks.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"QnX" = "%System%\qnx.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"QnX" = "%System%\qnx.exe"

4. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\"vxworks.exe" = "%System%\vxworks.exe:*:Enabled:Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{77520Q86-864L-N81R-0R2W-7U2G0P22436U}\"StubPath" = "%System%\qnx.exe"" "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\"free" = "12"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\"bsd" = "03"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"CheckExeSignatures" = "0x1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"RunInvalidSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\"LowRiskFileTypes" = ".zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\"(Default)" = "[ENCRYPTED STRING]"

5. Létrehoz egy kulcsot a regisztrációs adatbázisban:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\XMAS

6. Megfertőzi az Explorer.exe állományt.

7. Naplózza a billentyűleütéseket, és az összegyűjtött adatokat a következő fájlba menti el:
%Windir%\drm.ocx

8. Csatlakozik egy előre meghatározott weboldalhoz.

9. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

10. Email címeket gyűjt össze, amelyekre leveleket kezd el küldözgetni.

A fertőzött emailek tárgya lehet:
Subject: Mcdonalds wishes you Merry Christmas!
Coca Cola is proud to accounce our new Christmas Promotion.
You've received A Hallmark E-Card!

A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
coupon.zip
promotion.zip
postcard.zip