En Linux OnLine! nos cuentan que este gusano se dispersa al explotar servidores web con scripts PHP/CGI vulnerables, es una modificación de Linux/Slapper y BSD/Scalper de quienes hereda su estrategia de propagación. Este registra una subred de clase B completamente al escoger randómicamente el primer byte de una lista de clases A y randómicamente generar el segundo byte. Denota su precencia la existencia del archivo /tmp/lupii y alguno de los siguientes puertos en escucha UDP-7111 ó UDP-7222

En el sitio de McAffe da una mejor descripción e incluso la manera de desinfectarse. :(