A legtöbb vállalati számítógépen központilag vagy helyben telepített tűzfallal védekeznek, amely képes lezárni ezt a portot. Ám a legtöbb felhasználó láthatónak hagyja ezt a portot és ezzel sebezhetővé válik, ha a helyi adminisztrátori jelszó nem megfelelően erős. Ha a féreg alkalmas gépet talál, megpróbál helyi adminisztrátorként belépni, ehhez könnyen kitalálható, de sajnálatosan elég gyakori jelszóvariációkat használ.

Ha a bejelentkezés sikeres, a féreg különböző indító mappákba másolja be magát (rendszerint INST.EXE néven) és létrehoz egy olyan registry kulcsot is, amellyel a "DVLDR32.EXE" állományt (ez szintén a féreg másolata) minden rendszerindításkor lefuttatja. A gép újraindítása után a féreg további megfertőzhető gépek után kutatni. A féreg elsődleges bináris futtatható állománya egy ASPack módszerrel tömörített programkód, amely végrehajtáskor kibocsát magából két további összetevőt: a "psexec.exe" és a "inst.exe" fájlt. Az INST.EXE ezenkívül további fájlokat hoz létre a rendszerben.

A VNC szervert az alábbi elemek alkotják:

cygwin1.dll

explorer.exe

omnithread_rt.dll

VNCHooks.dll

A gépen keletkezik egy UPX segítségével összetömörített PSEXEC.EXE segédprogram (a sysinternal cégtől) és egy szintén UPX által tömörített RUNDLL32.EXE IRC trójai, amely egy 13 elemű listából véletlenszerűen kiválasztott szerverhez kapcsolódik. A fertőzés mellékhatásaként az is előfordulhat, hogy a korábban megosztott könyvtárakat nem tudjuk többé megosztani.