Rozsyła się on pocztą elektroniczną w załączniku do listu "udającego" opis uaktualnienia Internet Explorera. Zawiera procedurę destrukcyjną, polegającą na usuwaniu wszystkich plików z dysku twardego.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego w pliku update.vbs. Następnie sprawdza, czy istnieje plik o nazwie c:\testfile.txt. Kolejnym etapem jego działania jest uruchomienie przeglądarki i załadowanie strony z serwera Microsoftu - dla uwiarygodnienia treści listu elektronicznego - dotyczącej uaktualnienia Internet Explorera. Po tym zapisuje on swoją kopię w pliku update.vbs.

Zobacz również:

• Google zmienia algorytmy - więcej reklam w Gmailu

Przy następnym uruchomieniu komputera robak startuje automatycznie, przeszukując pliki o rozszerzeniach wab, txt, htm, html, starając się z nich wydobyć adresy poczty elektronicznej przyszłych ofiar, a następnie zapisuje je w pliku c:\testfile.txt.

W kolejnym etapie tworzony jest list elektroniczny, zawierający w załączniku kopię robaka, o temacie: UPDATE IEXPLORE 5.5 który następnie jest rozsyłany do adresatów odnalezionych w przeszukiwanych plikach. List ma następującą treść:

<i>La toute nouvelle version de Microsoft Internet Explorer offre de nombreux avantages aux utilisateurs et aux développeurs. Vous apprécierez en particulier la nouvelle fonction d'aperçu avant impression qui permet d'afficher les pages telles qu'elles se présenteront ŕ l'impression. Grâce ŕ la prise en charge améliorée des langages DHTML et CSS, les concepteurs de sites Web seront en outre plus ŕ męme de contrôler l'apparence des pages et le fonctionnement du navigateur. Téléchargez tous ces éléments aujourd'hui ŕ partir des mises a jour de produits</i>

Na koniec uruchamiana jest procedura destrukcyjna, polegająca na usuwaniu wszystkich plików ze wszystkich katalogów dysku twardego.