Automatycznie przesyłaja swoje kopie pocztą elektroniczną na e-maile, na które nie została wysłana odpowiedź. Dodatkowo instaluje on w systemie konia trojańskiego.

Zwykle robak pojawia się w komputerze ofiary w postaci odpowiedzi na wysłany przez nią list elektroniczny, do której dołączony jest plik o jednej z następujących nazw:

Pics.ZIP.scr

images.pif

README.TXT.pif

New_Napster_Site.DOC.scr

news_doc.scr

hamster.ZIP.scr

YOU_are_FAT!.TXT.pif

searchURL.scr

SETUP.pif

Card.pif

Me_nude.AVI.pif

Sorry_about_yesterday.DOC.pif

s3msong.MP3.pif

docs.scr

Humor.TXT.pif

fun.pif

Po uruchomieniu przez użytkownika pliku załącznika, robak umieszcza na dysku konia trojańskiego w katalogu systemu Windows w pliku hkk32.exe, a następnie go uruchamia.

Zobacz również:

• Google zmienia algorytmy - więcej reklam w Gmailu

Później Badtrans tworzy własną kopię w pliku inetd.exe oraz dodaje wpis w sekcji run= w pliku win.ini, czego efektem jest uruchamianie robaka przy każdym starcie systemu Windows. W celu zatarcia śladów działania wyświetla okienko dialogowe sugerujące, że uruchomiony przez użytkownika plik załącznika był uszkodzony i nie powiodło się jego uruchomienie.

Po ponownym uruchomieniu komputera aktywizuje się również robak, który po 5 minutach rozpoczyna procedurę rozprzestrzeniania się. Polega ona na wyszukaniu wszystkich listów, na które użytkownik jeszcze nie odpowiedział (poprzez funkcje MAPI), a następnie odpowiedzenie na nie, załączając plik o jednej z powyższych nazw, będący kopią robaka.