Der Internet-Wurm verbreitet sich im Web als Datei-Anhang an infizierte Briefe. Der Schädling, eine PE EXE-Datei mit Backdoor-Funktion, wird aktiviert, wenn der Anwender die infizierte Datei startet (bei Doppelklick auf den Anhang). In einigen Fällen ist es erforderlich, zuerst das ZIP-Archiv zu öffnen, in dem sich der Wurm befindet. Anschließend installiert er sich ins System und startet die Prozeduren zu seiner Verbreitung. Ein Teil des Viruskörpers ist chiffriert. Der Wurm sucht auf dem Computer Dateien und verschickt sich an darin gefundene E-Mail-Adressen. Dazu verwendet er den direkten Anschluss an den SMTP-Server des Empfängers. Der Wurm öffnet auf dem infizierten System TCP Port 1034 für den Empfang von remote-Befehlen. (Quelle: Kaspersky Lab)