Po uruchomieniu robak kopiuje się z losową nazwą do foldera \Windows\System, po czym usuwa plik, z którego został uruchomiony. Podczas rozprzestrzeniania szkodnik losuje adres IP potencjalnej ofiary i wysyła żądanie za pośrednictwem portu TCP 445. Jeżeli zdalny komputer odpowie robak uruchamia na nim własny kod.








