Oba robaki generują losowo adresy IP, z którymi następnie próbują się połączyć za pomocą portu 445. Wykorzystując lukę systemową wysyłają odpowiednie instrukcje w celu pobrania kopii robaka przez TFTP (uproszczoną wersję FTP). Oba wirusy zainstalowane już na komputerze modyfikują rejestr systemowy, zapewniając sobie działanie przy każdym uruchomieniu komputera. Łączą się z serwerem IRC i oczekują na zdalne komendy administracyjne. Robaki infekują wyłącznie komputery z systemami operacyjnymi Windows 2000, XP i Windows Server 2003.
Dodatkowo, Zotob.D wyszukuje najbardziej popularne programy adware w celu usunięcia ich plików i katalogów. Zainfekowany system jest wielokrotnie restartowany, co może być szczególnie niebezpieczne w środowiskach korporacyjnych.
Jak się ochronić?
Oba nowe robaki są wykrywane przez Technologie TruPrevent zawarte we wszystkich produktach firmy Panda Software. TruPrevent jest dostępny także jako oddzielny program przeznaczony specjalnie dla użytkowników oprogramowania antywirusowego producentów innych niż Panda Software.
Panda Software zaleca pobranie nakładki systemowej oferowanej przez Microsoft na stronie internetowej: http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
oraz skorzystanie z bezpłatnego skanera online Panda ActiveScan dostępnego na stronie http://www.pandasoftware.com.pl