A Casail.A féreg cserélhető meghajtókon keresztül terjed, és egy egyszerű módszerrel próbál bizalmas információkat megszerezni.

A Casail.A féreg a fertőzött számítógépeken az összes olyan meghajtóra, illetve adattároló eszközre felmásolja a saját állományait, amelyek számára írhatók. Arról is gondoskodik, hogy e meghajtók újbóli csatlakoztatásakor automatikusan elindulhasson. A féreg egy windowsos szolgáltatás létrehozása után doc és log kiterjesztésű fájlokat kezd el keresni. Amennyiben talál ilyeneket, akkor azokat esetenként emailben - egyszerű mellékletként - továbbítja a támadók számára.

Amikor a Casail.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windir%\Microsoft.Net\Debug\History
%Windir%\Microsoft.Net\Debug\Temp
%System%\odbcasvc.exe
%Windir%\Temp\123897.exe
%Windir%\uha.exe
%System%\mswinsck.ocx
%System%\scrrun.dll
%System%\msvbvm60.dll

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\odbcasvc

3.
Létrehoz egy "ODBC Administration Service" nevű szolgáltatást.

4. Minden írható meghajtón létrehozza a következő három állományt:
%meghajtó betűjele%\Recycled\desktop.ini
%meghajtó betűjele%\Recycled\INFO.EXE
%meghajtó betűjele%\Autorun.inf

5. Megkeresi a .doc és a .log kiterjesztésű fájlokat, amelyeket esetenként emailben továbbküld a támadók számára.