Es un gusano de correo masivo encriptado escrito en Visual Basic Script, se propaga a través de Outlook o Outlook Express y se activa cuando la fecha actual del sistema es 1 de Mayo de 2001 o posterior . Al parecer ha sido creado por hackers británicos con el fin de luchar contra la pornografía infantil.

Llega en un e-mail con las siguientes características:

Asunto: FWD: Help us ALL to END ILLEGAL child porn Now
Texto: Hi, Just a quick e-mail. Please read the attached document as soon as you can.
Thanks.
Archivo Adjunto: END ILLEGAL child porn
NOW.TXT...................vbe

Una vez abierto el archivo adjunto (de 31,120 bytes) realiza una búsqueda de todos los discos duros del sistema para detectar archivos JPEG.

El virus contiene una lista de direcciones de la policía y de autoridades gubernametales, cuando encuentra algún archivo cuyo nombre coincide con los que figura en su código envía un mensaje de alerta a dichas direcciones.

Modifica la página de inicio por defecto de Internet Explorer cambiando los siguientes registros:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
“http://www.geocities.com/antipedo2001-06-01

HKCU\Software\Microsoft\Internet Explorer\Main\Windows Title
“¦.,.-*^* -.,. FUAHACKEDU@888.NU /.,.-*^*-.,.¦”

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Fua
“wscript.exe (infected file) %”

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
1 (infected file), REG_SZ"

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
2 (infected file), “REG_SZ"

Si la entrada de registro no es igual a 0, ejecutará su rutina de correo masivo.

Si el valor de la siguiente entrada de registro es menor de 6, sustrae el valor del número de entradas en la libreta de direcciones del PC infectado.

HKCU\Software\Microsoft\WAB\POLY\

El número de e-mails enviados depende de la diferencia después de esta sustracción. Por el contrario, enviará un número aleatorio de mensajes. Responde a todos los e-mails que no estén en las carpetas “Sent Items”, “Outbox “ o ”Drafts” con el siguiente mensaje:

This is important, please read the attached file. Thanks.

Si la versión de Windows Scripting Host del equipo infectado es mayor de 5, retrasará la operación durante cierto tiempo. De otra forma, modificará otras entradas de registro. A continuación, descarga un archivo de texto en un directorio temporal y lo abre utilizando el editor NOTEPAD, que una vez abierto será borrado. También intentará enviar un nuevo grupo de e-mails a direcciones de la agenda seleccionadas aleatoriamente con el siguiente texto:

Asunto: RE: Child Pornography
Texto: Hi, this is Antipedo2001. I have found a PC with know Child Pornography files on the hard drive. I have included a file listing below and included a sample for your convenience.