Dem Sicherheitsspezialisten Panda Software zufolge präsentiert sich der Schädling als legitimes Word Dokument oder als beliebige Microsoft-Office-Datei mit eingebautem Word Dokument, die keine besonderer Vorsicht erfordert. 1Table.A verbreitet sich über E-Mail Anhänge, Downloads oder P2P-Netzwerke. Nachdem er sich über den bestehenden Sicherheitsfehler einen Zugangspunkt erschlichen hat, löst der Trojaner einen Buffer Overflow aus und übermittelt seinem Programmierer die Rechte des eingeloggten Users, die im besten Fall die Privilegien eines Administrators einbeziehen.
An diesem Punkt holt sich der 1Table.A Verstärkung: Er schleust eine Variante des Backdoor Trojaners Gusi ein, der die weiteren Aktivitäten übernimmt. Eines der beiden Gusi-Exemplare, die in Kombination mit "1Table.A" auftreten, ist "Gusi.A". Der Backdoor Trojaner injiziert sich in den Internet Explorer und versendet an seinen Programmierer Informationen zum infizierten Rechner, um dann entsprechende Befehle zur weiteren Vorgehensweise zu erhalten, wie beispielsweise das Öffnen der Windows Konsole (cmd.exe).
Die zweite Gusi-Variante ist "Gusi.B". Auch dieser Trojaner wird von "1Table.A" über eine kritische, undokumentierte Microsoft-Word-Schwachstelle transportiert. Anzeichen für die Präsenz des Backdoor-Trojaners ist eine Fehlermeldung im Internet Explorer, wenn der Schädling keine offene Internetverbindung finden kann. Beginnend mit dem Port 1032 öffnet "Gusi.B" fortlaufend eine ganze Serie von Ports, um gesammelte Daten zu verschicken und Kommandos vom Malware-Programmierer zu erhalten. Dann verbindet er sich via Internet Explorer mit der IP Adresse 222.9.X.X. Der Schädling tarnt sich durch Rootkit-Techniken.