La mayoría de las compañías desarrolladoras de soluciones anti-virus alertan de la existencia del nuevo gusano Toal que se propaga adjunto a un mensaje de correo electrónico con un asunto de idioma variable (inglés, portugués, holandés, francés y griego) que procede de la dirección root@fun.com.

Para propagarse Toal explota un conocido agujero de seguridad (para el que ya existe parche) que afecta a los programas de correo Outlook y Outlook Express de Microsoft y que permite la ejecución de un archivo adjunto con sólo leer el mensaje que contiene el código malicioso o con su simple previsualización. El mensaje hace referencia a la actual situación de Afganistán y el cuerpo principal del mismo aparece en blanco.

La estructura del mensaje sería la siguiente:
De: root@fun.com
Asunto (cualquiera de los siguientes):

Francés:
- papier toillette Bin Laden
- Sadam & BinLaden EN AMOUR
- Bush nique a donf Bin Laden <:P
- Osama Bin Laden Mal AimT ?
- Usa contre la convention de Geneve?
- Le courrier Anthrax existe vraiment
- Arme Biologique: PrTventions!
- Baiser un mullah a Islamabad

Griego:
- Xarti toualetas Bin Landen !!
- Hussein & Bin Laden, ERASTES
- O Bush gamaei agria ton Bin Laden
- Einai o Osama apotuximenos ston erwta?
- Amerikh enantia sto synedrio tis Genova?
- H epistoles me Antraka,einai gegonos
- Biologika wpla: Prostasia !
- Gamontas ena Moula sto Islamabad

Mensaje: En HTML, contiene un script que pemite al virus activarse.

Adjunto: BINLADEN_BRASIL.EXE.

Al ejecutarse el archivo adjunto recibido por e-mail genera dos archivos:
INVICTUS.DLL que se añade al directorio SYSTEM y otro de nombre aleatorio con "xxx" con extensión .EXE, que es el componente principal del gusano. Este archivo se ejecuta de la siguiente manera:

- Se copia bajo el nombre explorer"xxx".exe y añade la línea y añade la línea "boot = explorerxxx.exe" en la sección [shell] del archivo SYSTEM.INI, pero sólo en sistemas operativos WIN9x.
- Intenta infectar los archivos HH.EXE y CALC.EXE, luego utilizará uno de éstos como base para crear el fichero ejecutable que se enviará por e-mail.
- Desactiva algunos programas antivirus y cortafuegos.
- Para poder infectar los ejecutables del directorio Windows intenta desactivar "System File Check" para los ficheros .EXE y .DLL, modificando el fichero Default.sfc.
- Busca en la red local los directorios WINDOWS, WIN, WINXP, WIN2000, WIN2K, WINNT y en caso de que los encuentre se copia junto al archivo INVICTUS.DLL.
- Intenta infectar todos los procesos de la memoria.
- Infecta EXPLORER.EXE deteniéndolo y modificando el archivo. Una vez realizada esta operación, cuando se ejecute infectará todos los ficheros del disco duro.

Luego procede a reenviarse por e-mail para lo cual busca en ICQ WhitePages algunas palabras predefinidas, con el fin de encontrar direcciones de correo. Esta búsqueda se realiza cada 5 minutos.

No obstante, cabe destacar, según ha informado la compañía AntiVirus eXpert, que de cada 360 posibilidades existe una que el virus se ejecute. Y es importante recordar que el virus puede infectar tanto archivos de equipos individuales como de sistemas en red.

Además, el código maligno consta de una rutina que muestra en el escritorio un texto que se refiere a los últimos acontecimientos en Afganistán y que comienza de la siguiente manera:

A los 10 segundos el virus mostrará en la pantalla colores al azar 4 veces por segundo.

Desde VIRUSPROT.COM recomendamos para evitar el contagio por Toal deshabilitar la opción de previsualización y mantener lo más actualizada posible una o varias soluciones anti-virus.