y para ejecutarse la próxima vez que se active el crea las llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7FBDAFA3]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7FBDAFA3]
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\7FBDAFA3]

Para engancharse (hook) a todos los sistemas basados en tecnología NT crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT]
"ReportBootOk" = "1"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano borra la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]

borra además la llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc]
"ImagePath" = "*%SystemRoot%\System32\svchost.exe -k netsvcs*"

El gusano se copia a la raíz de todas las unidades de disco existentes en el sitema o la red local LAN:

%Unidad_de_disco%\auto.exe

para ejecutarse cada vez que se abra cualquier unidad de disco se copia a:

%Unidad_de_disco%\autorun.inf

El gusano intenta descargar un archivo que cambia la configuración del sistema desde un portal ubicado en Beijing, China: 

http://ddos.fuckunion.com 

Si los descarga auto-ejecuta y conecta a otras direciones URL ubicadas en China que descargan y ejecutan archivos con códigos arbitrarios (al momento del pte, informe, los sitios de descarga se encuentran activos a  través de Proxies ubicados en el hemisferio Este).