После запуска он копирует себя в файл %WINDIR%rundl132.exe, прописывает автозапуск в реестре и ищет программы на всех дисках, в том числе и сетевых, и внедряет в них свою копию. Кроме того, он сканирует сеть в поисках работающих компьютеров и пытается подключиться к ним с паролем администратора с пустым паролем или под именем текущего пользователя. Червь также создает на диске библиотеку viDll.dll и внедряет ее в процесс iexplore.exe или explorer.exe. Однако наиболее опасное его действие заключается в том, что он скачивает с разных адресов Internet программу-шпиона и устанавливает ее в систему. Шпион подсматривает набор паролей и отправляет их злоумышленнику. Поэтому если такой червь будет обнаружен в системе рекомендуется сменить все используемые пароли.