Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía a la Libreta de Direcciones de Windows (Windows Address Book) haciendo referencia a la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\nombre_de_archivo_WAB] 

También extrae direcciones de correo de los archivos con las extensiones:

• .htm
• .sht
• .php
• .asp
• .dbx
• .tbb
• .adb
• .pl
• .wab
• .txt

Remitente: [dirección_disfrazada@dominio_de_la_víctima] 

Asunto, uno de los siguientes:

• Returned mailDelivery Error
• Status
• Server Report
• Mail Transaction Failed
• Mail Delivery System
• hello
• hi

Contenido, uno de los siguientes:

• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available.
• Error #804 occured during SMTP session. Partial message has been received.
• The message contains MIME-encoded graphics and has been sent as a binary attachment.
• sendmail daemon reported:  

Anexado, está compuesto por 2 extensiones, siendo la primera una de las siguientes:

• htm
• txt
• doc

Y la segunda elegida aleatoriamente entre: 

• .pif
• .scr
• .exe
• .cmd
• .bat
• .zip 

Los archivos .ZIP contienen al archivo infectado empaquetado y si tiene una extensión .exe o .scr este será representado con el icono de un archivo de texto:

Al ejecutar el anexado, se muestra en pantalla una falsa caja de diálogo de error y luego el gusano se auto-copia a la carpeta %System% con los siguientes nombres:

• %System%\%System%\Explorer.exe (copia del gusano)
• %System%\%System%\Ctfmon.dll    (componente Backdoor)

Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = "%System%\Explorer.exe" 

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"default" = "%System%\Ctfmon.dll" 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer\ComDlg32\Version]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente reinicio se auto-ejecuta el Notepad.exe y muestra caracteres "basura".

El gusano sobre-escribe el archivo "local host" impidiendo que los usuarios de los sistemas infectados se conecten a los siguientes dominios:

• ad.doubleclick.net
• ad.fastclick.net
• ads.fastclick.net
• ar.atwola.com
• atdmt.com
• avp.ch
• avp.com
• avp.ru
• awaps.net
• banner.fastclick.net
• banners.fastclick.net
• ca.com
• click.atdmt.com
• clicks.atdmt.com
• dispatch.mcafee.com
• download.mcafee.com
• download.microsoft.com
• downloads.microsoft.com
• engine.awaps.net
• fastclick.net
• f-secure.com
• ftp.f-secure.com
• ftp.sophos.com
• go.microsoft.com
• liveupdate.symantec.com
• mast.mcafee.com
• mcafee.com
• media.fastclick.net
• msdn.microsoft.com
• my-etrust.com
• nai.com
• networkassociates.com
• office.microsoft.com
• phx.corporate-ir.net
• secure.nai.com
• securityresponse.symantec.com
• service1.symantec.com
• sophos.com
• spd.atdmt.com
• support.microsoft.com
• symantec.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• vil.nai.com
• viruslist.ru
• windowsupdate.microsoft.com
• www.avp.ch
• www.avp.com
• www.avp.ru
• www.awaps.net
• www.ca.com
• www.fastclick.net
• www.f-secure.com
• www.kaspersky.ru
• www.mcafee.com
• www.microsoft.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.sophos.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.ru
• www3.ca.com 

Para propagarse a través de la red KaZaa el gusano se copia a la carpeta de archivos compartidos con alguno de los siguientes nombres:

• xsharez_scanner
• BlackIce_Firewall_Enterpriseactivation_crack
• zapSetup_95_693
• MS59-56_hotfix
• winamp0
• NessusScan_pro
• attackXP-6.71