Zwykle robak pojawia się w komputerze ofiary w postaci pliku załącznika do listu elektronicznego o nazwie untitled.htm. Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku pliki zawierające jego kopie o nazwach: help.hta, help.vbs, help.htm lub untitled.htm.

HappyTime następnie wyszukuje wszystkie pliki z rozszerzeniami htm, vbs, asp, htt na dyskach lokalnych oraz sieciowych. Jeżeli suma aktualnego dnia i miesiąca daje wartość 13 wyszukiwane są pliki z rozszerzeniami exe i dll.

Zobacz również:

• Google zmienia algorytmy - więcej reklam w Gmailu

Z wnętrza wyszukanych plików robak uzyskuje adresy emailowe, a następnie wysyła na nie swoje kopie w postaci listu elektronicznego o następujących parametrach:

<b>Temat:</b> Help

<b>Treść:</b>

<b>Załącznik:</b> Untitled.htm

Wszystkie pliki, które dostarczyły robakowi adresów (poza plikami exe i dll) zostają następnie zainfekowane poprzez dołączenie do nich kodu robaka. Jeżeli ilość zainfekowanych plików osiągnie wielkość 366, wtedy uruchamiana jest jedna z dwóch procedur z prawdopodobieństwem 50%:

1. odpowiada na wszystkie listy znajdujące się w folderze Inbox programu pocztowego Outlook Express przy pomocy następującego listu:

<b>Temat: </b> Fw: <Adres email nadawcy oryginalnego listu>

<b>Treść:</b>

<b>Załącznik:</b> Untitled.htm

2. wysyła list elektroniczny do wszystkich adresatów znajdujących się w folderze Kontakty o następujących parametrach:

<b>Temat:</b> Help

<b>Treść:</b>

<b>Załącznik:</b> Untitled.htm