Aby utrudnić usunięcie, kopiuje on plik edytora rejestru do kosza. Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o nazwie LIFE_STAGES.TXT.SHS. Uruchomienie załącznika powoduje pokazanie się pliku tekstowego otwartego w Notatniku. W tym czasie w tle Stages uruchamia swoje procedury.

Plik załącznika jest wykonywalnym plikiem typu SHS (Microsoft Scrap Object), mogącym zawierać wiele różnych obiektów, a jednocześnie nie ujawniającym swojego rozszerzenia, nawet przy włączonej opcji pokazywania rozszerzeń plików dla wszystkich typów plików.

Zobacz również:

• Google zmienia algorytmy - więcej reklam w Gmailu

Po uruchomieniu pliku załącznika robak tworzy i kopiuje oraz w inny sposób modyfikuje pliki i Rejestr systemu Windows:

• w katalogu c:\windows\system tworzone są pliki scanreg.vbs, vbaset.olb i msinfo16.tlb
• w kluczu Rejestru dodawana jest wartość uruchamiająca plik scanreg.vbs przy każdym starcie systemu: HKLM/Software/Microsoft/Windows/ CurrentVersion/RunServices/ScanReg
• w katalogu c:\windows tworzony jest plik LIFE_STAGES.TXT.SHS
• we wszystkich katalogach głównych dysków (fizycznych i sieciowych) tworzone są pliki o losowych nazwach i rozszerzeniach shs, zawierające kopie robaka
• plik Edytora Rejestru regedit.exe kopiowany jest do kosza, do pliku o nazwie recycled.vxd ze zmienionym atrybutem na ukryty plik systemowy
• w koszu tworzone są również pliki o nazwach: msrcycld.dat, rcycldbn.dat i dbindex.vbs, będące kopiami robaka
• zmodyfikowany zostaje skrypt programu mIRC, tak by wywoływał sound32b.dll, czego efektem jest rozsyłanie kopii Stages do uczestników kanału IRC-a

Po wykonaniu procedur kopiowania plików oraz modyfikacji systemu Stages przechodzi do działań polegających na rozsyłaniu się pocztą elektroniczną do adresatów znajdujących się w książce adresowej programu Microsoft Outlook. List zawierający robaka zawiera tworzony losowo temat, a jedynym wspólnym elementem jest plik załącznika o nazwie: LIFE_STAGES.TXT.SHS. Po dokonaniu masowej wysyłki, dla zatarcia śladów, natychmiast usuwane są listy z foldera elementów wysłanych programu pocztowego.