Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: Pictures with your loved one

Treść:

Hi!

I'm sorry I have to send you these compromising pictures with the one you love, or you loved. :((

The quality is not so good because of the cheap camera, but you should be able to guess where they were taken.

I compressed it as a self extracting archive because

I didn't knew if you have WinZip. When you run it,

it should display the extract dialog.

I'm really sorry I had to be the one who told you about this. :((

Załącznik: Images_zipped.exe

Po uruchomieniu przez użytkownika pliku załącznika, robak tworzy w katalogu systemu Windows plik systray.exe. Modyfikuje również rejestr, tak by robak był uruchamiany przy każdym starcie systemu Windows. Uruchomiony systray.exe przechwytuje wszystkie naciśnięcia klawiszy i zapisuje je w pliku msp.dat w katalogu Windows, a następnie stara się je przesłać do swego autora. W ten sposób może wykraść wszystkie informacje.

Zobacz również:

• Google zmienia algorytmy - więcej reklam w Gmailu

Paukor tworzy również na dysku dwa pliki images_zipped.exe i msd.vbs, wykorzystywane do masowej dystrybucji. Dystrybucja ta polega na wysyłaniu kopii robaka za pośrednictwem poczty elektronicznej do wszystkich adresatów, znajdujących się w książce adresowej systemu Windows.

Ponadto robak modyfikuje plik autoexec.bat, by przy ponownym uruchomieniu komputera została usunięta zawartość katalogów Local Settings i History.

Na koniec, by zamaskować swoje działanie, robak wyświetla okienko dialogowe informujące o uszkodzeniu rzekomego archiwum.