Jest to robak rozprzestrzeniający się przez internet przy użyciu komputerów zainfekowanych szkodnikiem I-Worm.Mydoom.m. Infekuje systemy za pośrednictwem backdoora instalowanego przez Mydooma.m. Rozmiar robaka to około 5 760 bajtów (kompresja UPX). Szkodnik wyposażony jest w procedurę przeprowadzającą atak DoS na witrynę www.microsoft.com.
Po uruchomieniu robak kopiuje się do tymczasowego folderu systemowego Windows z losową nazwą i tworzy w rejestrze systemowym klucz auto-run:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Tray"=nazwa pliku robaka
Szkodnik generuje losowo adres IP o podejmuje próbę nawiązania połączenia za pośrednictwem portu TCP 1034 (jest on otwierany przez robaka Mydoom.m). Po udanym nawiązaniu połączenia szkodnik umieszcza na atakowanym komputerze własną kopię i kontynuuje rozprzestrzenianie.
Robak wysyła wiele żądań URLDownloadToCacheFile pod adres www.microsoft.com.
