موجود در Registry ، ثبت ميکند تا هر بار که سيستم بوت ميشود فايل RUNDLL.VBS  اجرا گردد.

بعداز ايجاد فايل RUNDLL.VBS و ثبت آن در Registry ,يکMessage Box باعنوان Free XXX links و با متن زير را نشان داده و از کاربر جواب ميخواهد. اگر کاربر Yes را انتخاب کند، فايل FREE XXX LINKS.URL را که يک Internet Shortcut به//www.sublimedirectory.com :, http است در Desktop  ايجاد ميکند.

This will add a shortcut to free XXX links on your desktop. Do
you want to continue ?

سپس فايل LINKS.VBS را بر روي درايوهاي شبکه کپي ميکند. ضمنا براي تمامي آدرسهايي که در Address Book نرمافزار Outlook Express وجود دارد، يک نامه الکترونيکي (Email) با موضوع "Check this" و با متن "Have fun with these links. Bye" ايجاد کرده و فايل LINKS.BVS را به آن ضميمه کرده و نامه را ارسال ميکند.

در صورتي که فايل RUNDLL.VBS اجرا گردد Script موجود در آن، ابتدا فايل LINKS.VBS را بر روي مسير اصلي Windows ايجاد مينمايد. سپس بر روي ريشه اصلي تمامي درايوها( بجز فلاپيدرايو CD درايو و RAM ) درايو به دنبال مسيرهاي MIRC98 و PIRCH ميگردد. درصورتي که فايلMIRC32.EXE و يا فايل PIRCH98.EXE را بر روي هر يک از دو مسير فوق (در صورتيکه وجود داشته باشند) و يا مسير Program Files پيدا کند بسته به اينکه کدام يک از فايلهاي موردنظر را پيدا کرده باشد، فايل SCRIPT.INI و يا EVENTS.INI را بر روي آن مسير ايجاد ميکند. اين فايلهاي INI بصورتي نوشته شده اند که هنگام اجراي نرمافزارهاي MIRC98 يا PIRCH فايل LINKS.VBS براي سيستمي که به سيستم آلوده متصل شده است، ارسال گردد.