A letöltési és installációs folyamat a következőképpen történik a Kaspersky Lab szerint:
A vírus rákapcsolódik a Geocities-oldalra, letölti a LASTVERSION.TXT nevű fájlt, amelyben a főmodul verziószáma található. Ha a számítógépen nincs Sonic-főmodul, vagy a website-on található verziószám nagyobb, mint a gépre installált programé, akkor két fájlt tölt le, az xx.ZIP-et (ahol az xx az aktuális verziószámot jelenti), és a GATEWAY.ZIP-et, amely a töltőmodul aktuális verziója.
A főmodul működésének célja az engedély nélküli adatgyűjtés, a felhasználói tevékenységek kifigyelése, a fertőzött számítógép feletti kontroll megszerzése kiskapukon keresztül. A Kaspersky Lab véleménye szerint a vírus szerzője a főmodul hatékonyságát könnyen tudja változtatni, például destruktív funkciók beépítésével.
Miután a főmodul installálódott, a Sonic e-mail-címeket lop a Microsoft Windows Address Bookból (Címjegyzék) és ezekre a címekre elküldi a töltőmodul másolatait. A vírus eddig ismert verzióiban a fertőzött levelek tárgyában "Choose your poison" szerepel (válaszd ki mérgedet), a melléklet pedig a legtöbb férfi felhasználónál érdeklődésre számot tartó GIRLS.EXE programot tartalmazza.
A Kapersky Lab nem tartja különösebben veszélyesnek a vírus aktuális verzióját, inkább csak az a jövőkép ijesztő, hogy a vírusok hamarosan általánosan arra használhatják az internetet, hogy azon keresztül bővítsék alattomos funkcióikat.
Az orosz cég máris frissítette vírusellenes programját, az Antiviral Toolkit Prót, amely felismeri a Sonicot. A többi antivírus-szoftvercég is rövidesen közzéteszi frissítéseit, hacsak nem tette még meg.