c:\windows\startm~1\programs\startup\winword.bat
c:\windows\winword.reg
c:\windows\normal.doc
A winword.reg a Windows indulásakor fut, és módosítja a regisztrációs adatbázist (biztonsági szintek). Ezt a .reg állományt a Startup könyvtárban lévő WINWORD.BAT indítja el a NORMAL.DOC-kal együtt. Ezután a vírus megkeresi és felülírja az összes helyi és csatlakoztatott hálózati lemezen található .doc kiterjesztésű állományt. A .txt, .wri és .pdf fájlokat is felülírja és kiterjesztésüket .doc-ra változtatja.
A folyamat végén az Office Assistant jelenik meg a következő üzenettel:
Whew!!
Wassup, doc? You have so many document fiels in your hard drive.. Better remove some..
A vírus direkt fertőző mechanizmusa miatt bármilyen, a vírust tartalmazó dokumentum futtatása a fenti eseményekhez vezet a számítógép következő újraindításakor. Ha gyanakszik arra, hogy megfertőződött, ellenőrizze a Startup és a Windows könyvtárat, és ne kapcsolja ki a gépet. Ha az üzenetet is látta, akkor már késő...
Vigasztaló, hogy az előrejelzések alapján nem kell a vírus széles körű elterjedésére számítanunk, de nem árt óvatosan bánni a mostanában érkező dokumentumokkal.