Ce dernier est un vers qui regarde si un serveur DHCP et une passerelle est présente sur le réseau, si oui, il répondra pour elle afin de donner de fausses informations réseaux.
La machine infectée fera donc office de serveur DHCP et passerelle.
Le but étant au final de rediriger les internautes vers de fausses pages lors du surf qui proposeront l'installation de TDSS :
