Amikor a vírust elindítják, az a következõket teszi:
Kikapcsolja a Windows File Protection-t.
Megpróbál megfertõzni minden *.exe fájlt az összes meghajtón (kivéve az "A:\"-t), valamint az összes hálózati megosztáson.
Véletlen IP címeken megpróbálja kihasználni a Microsoft Windows DCOM RPC verem túlcsordulási hibát a 139-es porton keresztül.
Letölt adott címrõl egy állományt és elindítja azt.
Ha egy fájlt megfertõz, akkor a végére írja be a víruskódot (az utolsó section végére), megnövelve ezzel a fájl méretét. A fájl headerjében módosítja a belépési pontot, az ImageSize-t, valamint az utolsó section hosszát.Az itt leirtakból tapasztaltál valamit a rendszeredben?Ha igen,akkor nagy bajban vagy.