Der Netzwurm infiziert Windows-Computer. Es handelt sich um eine Windows-PE-EXE-Datei, die eventuell gepackt ist, so dass die Größe der infizierten Datei variieren kann. Der Virus breitet sich über die LSASS-Lücke (Microsoft Security Bulletin MS04-011) und die RPC-DCOM-Schwachstelle (Microsoft Security Bulletin MS03-026) aus. Er sammelt IP-Adressen für seinen Angriff. Wenn er feststellt, dass der Remote-Computer eine ungepatchte LSASS- oder DCROM-RPC-Lücke hat, startet er sich selbst auf der Maschine. Der Wurm verbreitet sich zudem als Anhang infizierter Nachrichten über das Internet und verschickt sich an auf dem Opfersystem gefundene E-Mail-Adressen. Der Schädling enthält eine Backdoor, über die er Befehle aus einem IRC-Channel entgegennimmt. Er öffnet TCP-Port 6667 auf dem Rechner des Opfers, was einem böswilligen Remote-Nutzer vollen Zugang zum betroffenen System und damit Zugriff auf alle Daten verschafft. Zudem kann dieser Dateien hoch laden, starten und löschen (Quelle: Kaspersky).