Der Channel-Mode war so eingestellt, dass alle zugeschalteten Benutzer (Bots) nicht sichtbar waren. Das Ethereal-Log gab die Anzahl der Benutzer mit 1476 an. Das Channel-Topic veranlasste die Bots, auf den remoten Rechnern Netzwerk-Ports zu scannen ("Random-Scan"). Die Rechner suchten andere Computer im Internet auf und testeten, ob der Port 445 geöffnet war.

Auf diesen Opfern sollte der Exploit-Code ausgeführt werden. Neben dem Random Scan beinhaltete der Bot-Code noch weitere Kommandos:

.data:00437934 aAdvscan db 'advscan',0.data:00437A3C aUdpflood db 'udpflood',0.data:00437AC8 aPingflood db 'pingflood',0.data:00437B70 aTcpflood db 'tcpflood',0.data:00437C60 aEmail db 'email',0.data:00437CDC aHttpcon db 'httpcon',0

Das Kommando advscan scannt eine vorgegebene Anzahl an IP-Adressen. Die Befehle udpflood, pingflood, tcpflood starten einen DoS-Angriff auf IP-Adressen, und email versendet Nachrichten. Ein Nutzer mit Channel-Admin-Rechten kann die Kommandos in das Channel-Topic einfügen und ausführen lassen, da Channel-Admin und die Bots interagieren.

Passwortknacker und Spam-Schleuder

Neben dieser Interaktion gestattet der Code, private Nachrichten zu interpretieren. Der Betreiber dieses Bot-Netzwerks kann einzelnen Bots dedizierte Aufgaben zuteilen. Beispielsweise kann ein Bot innerhalb des Netzes neue Spam-Nachrichten verschicken, während andere DDoS-Attacken starten. Bots können zu Drohnen umfunktioniert werden, die das Internet nach weiteren verwundbaren Windows-Rechnern durchforsten.