A programféreg a számítógépen található címekre küldi magát tovább. A víruskód tartalmaz email-tárgy és csatolmánynév-töredékeket. Ennek ellenére a beérkezett minták nagy része a vírusban nem szereplő információval érkezett. Valószínűbb, hogy a vírus a fertőzött rendszereken található információkból dolgozik. Az e-mail tárgyak és az üzenettörzs változhat, és az utóbbi a fertőzött gépen található fájlok töredékeit tartalmazza. A melléklet neve szintén változó.
A melléklet általában dupla kiterjesztéssel érkezik (pl.: .doc.pif). A kimenő üzenetek kihasználják az "Incorrect MIME-Header... (MS01-020)" biztonsági hiányosságot. A hiba a Microsoft Internet Explorer (v 5.01 és 5.5 SP2 nélkül) sajátossága. Az internet átjárón futtatott vírusellenőrzők a vírust, mint Exploit-MIME.gen. vagy Exploit-MIME.gen.exe detektálhatják.
A vírus lefuttatásakor bemásolja önamgát a %WinDir%\System könyvtárba, mint ****.EXE (ahol * tetszőleges karakter). Például: Win 98 : C:\WINDOWS\SYSTEM\FYFA.EXE 2000 Pro : C:\WINNT\SYSTEM32\FVFA.EXE
A következő registry kulcs készül a rendszerindításkori betöltődéshez: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion RunOnce "%random letters%" = %random filename%.EXE (Win9x)
A programféreg bemásolja magát a Startup folderbe, mint ***.EXE (ahol * tetszőleges karakter). Például: Win 98 : C:\WINDOWS\Start Menu\Programs\Startup\CUK.EXE 2000 Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\CYC.EXE
A programféreg kinyitja a 36794-es portot a fertőzött számítógépen, és a futó folyamatok közül többet megállít, ha azok benne vannak a vírusba épített listában. A lista több népszerű antivírus és személyi tűzfal folyamatot tartalmaz. Ez a távoli elérés lehetővé teszi a támadónak, hogy fel-illetve letöltsön fájlokat a számítógépről, folyamatokat állítson le és programokat futtasson. Egy DLL-t helyez el a számítógépen. Ez a DLL mint PWS-Hooker.dll. kerülhet detektálásra.
A féreg megpróbálja saját magát a hálózaton található többi számítógép Startup könyvtárába másolni.