Cuando el virus es ejecutado, se copia como C:\Windows\System\System32.exe y C:\Windows\System\Cmd32.exe.

Agrega uno de los siguientes valores:

SystemSAS system32.exe
CMD cmd32.exe

a las siguientes claves:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Además crea la subclave krypton en la rama HKLM\Software. Puede modificar el valor Shell de la clave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon por explorer.exe C:\(nombre de la copia del virus).

Crea también uno de los siguientes directorios:

C:\Windows\UserTemp o C:\Windows\User32.

Se copia luego en la carpeta creada anteriormente usando diferentes nombres que se encuentran en su cuerpo. Alguno de los posibles nombres son los siguientes:

Battlefield1942_bloodpatch.exe
NBA2003_crack.exe
UT2003_keygen.exe
Age of Empires 2 crack.exe
MediaPlayer Update.exe
iMesh 3.7b (beta).exe
KaZaA Speedup 3.6.exe
Download Accelerator Plus 6.1.exe
Network Cable e ADSL Speed 2.0.5.exe
Guitar Chords Library 5.5.exe

Genera los valores Dir? 012345:%Windir%\UserTemp o Dir? 012345:%Windir%\User32 dependiendo del directorio que el virus haya creado. El ? representa un número establecido por el gusano en dicho momento. Dicho valores es agregado en las claves HKEY_Current_User\Software\Kazaa\LocalContent y HKEY_Current_User\Software\iMesh\Client\LocalContent.

Abre finalmente, dos puertos aleatoriamente (TCP y UDP) para darle acceso al atacante. Queda a la escucha de comandos utilizando su propio canal IRC. El atacante puede desarrollar cualquiera de las siguientes acciones:

Actualizar el gusano.
Robar información del sistema y de la red.
Bajar y ejecutar archivos.
Ejecutar Ataques de denegación de servicios contra objetivos designados.
Enviar el gusano a otros usuarios de IRC.