A féreg rendszerint egy “Please see the attached zip file for details.” tárgyú levélben érkezik, a csatolt fájl neve “your_details.zip”.
A féreg egy 86528 bájt hosszúságú PE exe fájl, Aspack és TELock tömörítéssel. A tömörítetlen féreg több mint 130 kB. A féreg testében található szövegek többsége egy komlex algoritmussal van eltitkosítva, melyekből ha kell a féreg szükség szerint dekódol.
A féreg elektronikus levélben terjed. A fertőzött leveleket a véletlenszerűen választott tárgy mezővel és melléklet névvel generálja, az üzenet tartalma viszont állandó. A féreg egy csatolt zip fájlban található.
Eddig csak a következő tulajdonságú levelekkel találkoztak:
Tárgy:
Re: Application
Vagy
Re: Movie
Üzenet: Please see the attached zip file for details.
Melléklet: your_details.zip
A melléklet a féreg fájlt tartalmazza DETAILS.PIF névvel. (A Windows a.pif kiterjesztést _mindig_ elrejti!)
Az áldozatok címeit a féreg az alábbi kiterjesztésű fájlokból gyűjti:.WAB, .DBX, .HTM, .HTML, .EML, .TXT
A féreg a kiküldött levelek feladó mezőjét meghamisítja. A hamisított feladó a ‘support@yahoo.com’ vagy egy a gépen talált cím lehet. A fertőzött leveleket saját SMTP rutinjával küldi el egy belső SMTP szerver listából véletlen szerűen választott gépen keresztül.
Terjedés a helyi hálózaton (LAN)
A féreg hálózati erőforrások után kutat, és megpróbálja a távoli gépek indítópultját elérni: WindowsAll UsersStart MenuProgramsStartUp
Documents and SettingsAll UsersStart MenuProgramsStartup
Ha a féreg a fenti mappák közül valamelyiket megtalálja, oda másolja magát, aminek hatására a másik gép is fertőzött lesz a következő indításkor.
Mint ahogy a féreg többi változata is tette, ez a verzió is öngyilkos lesz egy idő után. Az “E” variáns július 14.-én függeszti fel terjedési rutinját.