A Lioten más féregprogramokkal ellenben nem e-mailen keresztül terjed, hanem véletlenszerűen kiválasztott IP-címek alapján végigkeres az interneten olyan Windows rendszerek után kutatva, amelyek egy otthoni, illetve céges hálózat részeként megosztott mappákat használnak.
A féreg véletlenszám-generátorral előállított IP-címeket keres végig a Windows Server Message Block (SMB) fájl- és erőforrás-megosztási protokoll segítségével, és a 445-ös porton vár válaszra. Amint a Lioten választ kap egy szervertől, megpróbálja feltörni azt az úgynevezett "brute force" eljárással. A féregprogram megszerzi a felhasználók listáját, majd egy belső lista alapján olyan, gyakori jelszavakat próbál végig, mint a "root" vagy az "admin". Amennyiben sikerült egy gépet feltörni, a féreg egy Iraq_oil.exe fájl képében bemásolja magát a System32 könyvtárba, majd a feltört gépen is lefuttatja önmagát.
Egyelőre nem tudni, hogy a vírus okoz-e valamilyen kárt a megfertőzött rendszerekben a terjedésen kívül, és az sem egyértelmű, hogy az Iraq_oil névnek van-e valami szerepe, közölte az F-Secure. A társaság szerint egyébként a tűzfallal védett rendszerek feltehetően védettek a féreggel szemben.
Az antivírusszoftvereket fejlesztő társaságok egyelőre "alacsony" veszélyességi fokúnak ítélték meg a Liotent, elsősorban viszonylag lassú terjedése miatt. Az új vírusdefiníciós fájlok ennek ellenére már tartalmazzák a féreg azonosításához szükséges adatokat.