Gibe está escrito en Visual Basic y llega en el adjunto Q216309.EXE en un correo electrónico de estas características:

From: Microsoft Corporation Security Center
mailto:rdquest12@microsoft.com]
To: Microsoft Customer
Subject: Internet Security Update
Attachment: q216309.exe

El extenso texto del mensaje comienza como sigue:

Microsoft Customer,
this is the latest version of security update, the update which
eliminates all known security vulnerabilities affecting Internet
Explorer and MS Outlook/Express as well as six new
vulnerabilities, and is discussed in Microsoft Security Bulletin
MS02-005. Install now to protect your computer from these
vulnerabilities, the most serious of which could allow an
attacker to run code on your computer

A continuación se describen una serie de vulnerabilidades conocidas de Microsoft, y se intenta engañar al receptor para que pinche el fichero adjunto.

El código del virus no es perfecto, por lo que el texto al completo no es visible en algunos sistemas.

La ejecución del programa Gibe empieza preguntando al usuario si quiere instalar el supuesto parche que le ha llegado. Cualquiera que sea la respuesta, el virus se activa y se autocopia en la carpeta de Windows, creando varios archivos ejecutables. También genera un .DAT en el que almacena todas las direcciones de la libreta de Outlook para reenviarse a ellas automáticamente.

Uno de los ejecutables generado por Gibe actúa como backdoor abriendo el puerto 12387 para monitorear e incluso controlar remotamente los sistemas infectados

Su payload final se manifiesta con la auto-ejecución de otros dos archivos .EXE de los que ha creado, procediendo a difundir masivamente Gibe a través de la libreta de direcciones MS Outlook, lo que satura servidores de correo, redes y Pc`s.

Quizá por los fallos en su programación su difusión no está resultando tan alarmante como cabía esperar, pero conviene que por precaución no le perdamos de vista.