Dat براي شناسايي 5332 ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين کرم، در خرداد هشتاد و شش مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Winko.worm با حجمهای مختلف ايجاد شده است. انتشار در صورت اجراي فايل آلوده بر روی دستگاه، فايلي بنام autorun.inf توسط ویروس در ريشه درايو های ديسك سخت (درایوهای C و D و ...) و ابزارهای ذخیره سازی USB (در صورت وجود) ایجاد می شود. درون اين فايل، نام فايل اجرايی ويروس (نظیر auto.exe در يکی از گونه ها) آورده شده است. کامپیوتـر آلـوده می تـوانـد هر دیسک USB را نیـز کـه به آن کامپیوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پـوشه هـای بـه اشتـراک گذاشته شده بر روی شبکه نيز اقدام به انتشار خود می کند. بسياری از گونه های اين ويروس با كپی كردن خود در شاخه های اشتراكی (Share) ساير دستگاه های شبكه، آنها را هم در معرض آلودگی قرار می دهند. به اين صورت كه اگر درايو C دستگاهی در شبكه برای كامپيوتر آلوده قابل دسترسی باشد، كافی است دو فايل autorun.inf و auto.exe در ريشه آن كپی شود تا بعد از راه اندازی دستگاه، كاربر با دوبار كليك كردن بر روی درايو C آلوده گردد. در شبكه هايی كه رمز عبور Administrator براي همه دستگاه ها يكی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی كه برای اشتراك فايل بين كاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.) خرابکاری به محض آلـوده شدن يک کامپيـوتـر بـه ويـروس Winko، در مسيرهـای زيـر فـايلهای مخرب کپی می شوند. (نام اين فايل در گونه های مختلف متفاوت گزارش شده است.): - %WinDir%\system32\auto.exe - %WinDir%\system32\rising.exe - %WinDir%\system32\auto.dll - %WinDir%\system32\rising.dll سپس با تزريق خود به چندين پروسه سيستم عامل، از جمله Explorer.exe فعاليتهای خرابکارانه خود را آغاز می کند. اين ويروس، با ايجاد کليد زیر در محضرخانه (Registry)، اجرا شدن خود را در هر بار راه اندازی سيستم عامل تضمين می کند. - HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\Auto: “%WinDir%\system32\auto.exe” ويروس Winko در خانواده "دريافت کننده ها" (Downloader) قرار می گيرد. بدين ترتيب که با برقراری ارتباط با مرکز فرماندهی خود، پس از دريافت فايل Update.txt که حاوی ليستی از برنامه های مخرب است، اقدام به دريافت و اجرای آنها بر روی کامپيوتر قربانی می کند. پيشگيری استفاده از رمزهای عبور قوي و عدم به اشتراک گذاشتن کل درايوها، از نکات اوليه برای پيشگری در مقابل کرمها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوي درباره فايل های مشكوك و يا با عناوين جذاب كه در سايت های اشتراك فـايـل، فراوان ديده می شوند، اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس (نظیر قاعده USB) می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.