Una vez ejecutado, el virus, se copia al directorio C:\Windows con un nombre aleatorio de 7 caracteres y la extensión .vbs y agrega el valor (nombre del archivo) = "wscript.exe C:\Windows\(nombre del archivo).vbs" a la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run para poder ejecutarse en cada inicio de Windows.

Además, enviará a todos los contactos de la Libreta de direcciones un mensaje de correo electrónico con el asunto Click YES and vote against war!. Dentro del cuerpo del mensaje se encuentra embebido el código del virus es cual se ejecutará si el Windows Scripting Host se encuentra instalado. Cuando el usuario tan solo visualiza el mensaje, Windows mostrará una ventana de advertencia con el texto Some software (ActiveX controls) on this page might be unsafe. It is recommended that you not run it. Do you want to allow it to run? y los botones Si y No.

Si el usuario presiona el botón No, es mostrado el texto For voting against war, please open this message again and click yes! It´s very important! Thank you! dentro del cuerpo del mensaje. En el caso que el botón presionado sea el Si, se muestra el texto Thank you for voting against war. We will now send an EMail for you to Mr. Bush en el mensaje.

Una vez finalizada la rutina de envío, agrega el valor Send = 00000001 bajo las claves HKLM\Software\CLASSES\Lisa\Mail y HKCR\Lisa\Mail.

Se envía a otros usuarios de IRC, buscando el directorio en el cual se encuentra instalado el mIRC y copia allí un archivo de nombre Script.ini con instrucciones para enviar el virus a otros usuarios que se conecten al mismo salón de conversación.

Mediante Kazaa se propaga copiándose al directorio compartido, obtenido de la clave HKCU\Software\Kazaa\LocalContent\DownloadDir, como:

Silvia Saint Gangbang.avi.vbs
Britney Spears nude.jpg.vbs
Christina Aguilera Nipple.jpg.vbs
Lolita.jpg.vbs
Madonna - Song.mp3.vbs
Jennifer Lopez.mp3.vbs

A parte de lo antes mencionado, posee una rutina la cual crea mas de 5000 directorios de nombres aleatorios bajo la unidad C: y crea dentro de ellos un archivo de texto con la frase I will never stop loving you. También borra el archivo Regedit.exe y todos los documentos encontrados con extensión .doc.

Asimismo oculta los íconos del escritorio modificando la siguiente clave del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDesktop = “00000001”

Por otra parte, infecta archivos con extensión vbs y vbe agregando su código dentro de ellos.

Si el virus se ha estado ejecutando por mas de 3 días, el gusano procede a eliminar los siguientes archivos:

C:\Windows\user.dat
C:\Windows\user.bak
C:\Windows\system.dat
C:\Windows\system.bak
C:\Windows\win.com

Por último, agrega instrucciones en el archivo Autoexec.bat para formatear la unidad C: al próximo inicio del equipo bajo Windows 9x/Me.

Eliminar el valor (nombre del archivo) = "wscript.exe C:\Windows\(nombre del archivo).vbs" de la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run.

Reiniciar el equipo.

Eliminar el archivo de nombre aleatorio (7 caracteres), del directorio C:\Windows.

Utilizando uno o mas antivirus actualizado al día de la fecha, realizar un escaneo completo del sistema y eliminar todos los archivos detectados como infectados.

Restaurar los archivos infectados desde una copia de seguridad libre de virus. En el caso de los archivos del sistema, pueden restaurarse desde el CD de Windows, pero es posible que sea necesario reinstalar el sistema.