Plexus versucht zwei seit einiger Zeit bekannte Sicherheitslücken auszunutzen: Es handelt sich hierbei um den Local Security Authority Subsystem Service (LSASS) und Remote Procedure Call/Distributed Component Object Model (RPC/DCOM). Außerdem nutzt Plexus Online-Tauschbörsen, lokale Netze und E-Mail, um sich zu verbreiten.

Dabei verwendet der Wurm unterschiedliche Betreffzeilen und Inhalte, selbst der Name der angehängten, gepackten Schaddatei variiert. Bei bereits infizierten Rechnern findet sich eine Datei "upu.exe" im Systemordner, die bei jedem Start des Rechners ausgeführt wird.

Sie startet auf der gesamten Festplatte eine Suche nach E-Mail-Adressen, an die sie sich dann verschickt. Zudem versucht der Schädling, das Herunterladen von aktuellen Virensignaturen zu verhindern, öffnet den Port 1250 und installiert eine Backdoor, über die der Rechner via Internet ferngesteuert werden kann. (ave)