w32/Gael.worm.a es un gusano infector que propaga a ejecutables hospedados en la propia máquina infectada, así como a sistemas accesibles en una red. El gusano también descarga y ejecuta otros ficheros.

Cuando se ejecuta, el gusano infecta ficheros .EXE del sistema local, añadiendo su código al final de los mismos. Crea 10 hilos de búsqueda para detectar equipos infectables via NetBIOS, a través del puerto TCP139. Para ello se vale de una conocida vulnerabilidad en el componente Remote Procedure Call (RPC), ya corregida por Microsoft en el boletín de seguridad MS03-026 y posteriores.

El gusano intenta conectar con los sistemas vulnerables a través de IPC$ y recursos compartidos para infectar ficheros remotamente.

También intenta descargar y ejecutar un fichero denominado dl.exe desde utenti.lycos.it Asimismo, el virus descarga un troyano descargador, Downloader-ACX, que a su vez baja otros dos ficheros:

Adicionalmene, también intenta desactivar las protecciones de archivos de Windows.

Síntomas

- Tráfico netbios excesivo desde el sistema infectado
- Presencia de DL.EXE, GAELICUM.EXE, y CBACK.EXE

El virus no crea ninguna clave de registro ni tiene ningún otro método de instalación para iniciarse automáticamente al reiniciar el sistema.