Es un gusano que se propaga mediante el envío de correo electrónico a direcciones localizadas en los ficheros del directorio temporal de Internet y en la libreta de contactos de Windows (WAB).

El envío del mensaje lo realiza utilizando su propio motor SMTP (Simple Mail Transfer Protocol), lo que hace su funcionamiento independiente del cliente de correo instalado en el equipo.

El gusano va como anexo a los mensaje en un fichero '.zip' que contiene un fichero de doble extensión.
También es capaz de replicarse en las unidades compartidas en red del equipo afectado.

Habilita en el equipo atacado un servidor FTP de modo que el atacante puede subir/bajar ficheros.

Abre una puerta trasera en el sistema a través de IRC y espera recibir instrucciones del atacante, quien puede, entre otras acciones: descargar/ejecutar ficheros y reiniciar el equipo.