Malfaisant au possible, Trojan/Simpsons efface la majeure partie des fichiers qui se trouvent dans les lecteurs C:, A:, B: et D: de l’ordinateur sur lequel il est exécuté. Cependant, en raison d’un bogue de conception, il n’y réussit pas toujours très bien et n’est souvent capable que d’effacer une partie des fichiers du lecteur C:. La charge se déclenche dès que le programme qui contient le code malveillant est exécuté. Point positif : il ne peut effacer aucun des fichiers qui sont ouverts.
Pour entrer dans l’ordinateur, le cheval de Troie se transforme en pièce jointe, prenant l’apparence d’un fichier compressé ZIP. Ce fichier est diffusé comme étant le fichier auto-extractible Win32 d’une version non enregistrée de l’auto-extracteur WinZip (version 2.1). En fait, le fichier arrive avec l’icône classique d’un fichier auto-extractible.
Lorsqu’il est exécuté, Trojan/Simpsons ouvre une session MS-DOS à partir de laquelle il tente d’effacer tous les fichiers des lecteurs C:, A:, B: et D: du système. Pour ce faire, il s’auto-extracte en un fichier temporaire et crée deux fichiers, respectivement nommés " Simpsons.BAT " et " Simpsons.BMP ". Le premier est un fichier batch MS-DOS qui comporte des appels au programme d’effacement de répertoires de MS-DOS, " Deltree.EXEin ". C’est ainsi qu’il entreprend d’effacer, par ordre alphabétique, tous les dossiers et sous-dossiers qui se trouvent dans les lecteurs C:, A:, B: et D:. Une fois sa mission accomplie, il s’efface tout seul et fait disparaître toutes traces de sa présence.
