A féreg véletlenszerű IP címeket vizsgál, így próbál nyitott 445-ös porttal rendelkező Windowsos gépeket találni. A 445-ös port (Microsoft SMB megosztás TCP/IP segítségével) engedélyezi a kívülállóknak, hogy Windows-megosztásokat érhessenek el.
A legtöbb vállalati számítógépen központilag vagy helyben telepített tűzfallal védekeznek, amely képes lezárni ezt a portot, ám a legtöbb felhasználó láthatónak hagyja ezt a portot és ezzel sebezhetővé válik, ha helyi adminisztrátori jelszó nem megfelelően erős.
Ha a féreg erre alkalmas gépet talál, megpróbál helyi adminisztrátorként belépni, ehhez 50 könnyen kitalálható, de sajnos elég gyakori jelszóvariációt használ. Ilyen jelszavak az „admin” és változatai, a password és módosított változatai, egyszerű számsorok és egyéb gyakran használt kifejezések.