Robak zwykle pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego napisanego w języku rosyjskim. Nazwa pliku załącznika to Photo1.jpg.pif.

Po uruchomieniu przez użytkownika pliku załącznika robak aktywizuje się i zaczyna procedurę rozprzestrzeniania się. Polega ona na zmianie nazw niektórych plików z rozszerzeniem .exe na te same nazwy tylko z rozszerzeniem .vxd. W miejsce oryginalnych plików robak tworzy własne kopie o nazwach oryginalnych plików. Dotyczy to plików: notepad.exe, control.exe, mplayer.exe, winhlp32.exe, ifnhlp.sys.

Ponadto robak tworzy własne kopie w plikach loadpe.com i scanregw.exe, umiejscowionych w katalogu systemu Windows. Ponadto Stator modyfikuje Rejestr tak, by jego kopia w pliku scanregw.exe była uruchamiana przy każdym starcie systemu Windows oraz uruchamianiu plików z rozszerzeniem .exe. W efekcie wszystkie uruchomione programy sukcesywnie stają się kopiami robaka.

Na koniec robak rozsyła się przy użyciu poczty elektronicznej, przy czym tworzy własny list z fałszywymi nagłówkami, a następnie łączy się z serwerem SMTP w Rosji i za jego pomocą rozsyła własne kopie.