Ormen etterlikner en ekte melding som Microsoft sendte ut i mars i år, da det ble oppdaget at to Verisign-sertifikater var på avveie.
Falske digitale sertifikater utstedt i Microsofts navn
Invalid-ormen utgir seg for å stamme fra support@microsoft.com, og har betegnelsen "Invalid SSL Certificate" i emnefeltet for e-posten. SSL er en ordning for sikre forbindelser som blant annet norske nettbanker baserer seg på. Tjenesten krever ingen sertifikater.
I meldingen anbefales man å verne seg mot misbruk av ugyldige SSL-sertifikater ved å kjøre en oppdatering til Microsofts nettleser Internet Explorer. "Oppdateringen" er vedlagt, og bærer navnet sslpatch.exe.
Den som kjører sslpatch.exe, erfarer at exe-filer i mappen der ormen er lagret, og mapper over den i hierarkiet, krypteres med en vilkårlig nøkkel. Ormen sjekker at PC-en er online, og søker gjennom alle dokumenter i Mine dokumenter-mappen etter filer der etternavnet begynner med ht. Alle e-postadresser nevnt i disse dokumenter får tilsendt en kopi av den opprinnelige meldingen.
De fleste virusvernselskapene har allerede oppdatert motgift tilgjengelig fra sine nettsteder.
