این برنامه مخرب از نوع ویروسمی باشد به این معنی که فایلهای روی سیستم کاربر را ﺁلوده می کند روش ﺁلوده سازی این ویروس به این صورت است  که خود را به صورت کامل به اندازه ۷۰۰۰ بایت در انتهای فایل مورد نظر قرار می دهد.
به محض اجرای فایل ﺁلوده به این ویروس، یک فایل DLL و با نام wmdrtc۳۲ در مسیر System۳۲ ایجاد  کرده و ﺁن را اجرا می  کند. این فایل DLL  کارهای زیر را انجام می دهد:
ابتدا فایلی با نام تصادفی و پسوند sys در مسیر زیر ایجاد می  کند:

[مسیر نصب ویندوز]\system۳۲\drivers

این فایل از نوع Rootkit می باشد. سپس برای این فایل سرویسی را بر روی سیستم ایجاد و ثبت می  کند. بعد از ﺁن سرویس مربوط به بسیاری از برنامه های ضدویروس و امنیتی را پاک  کرده و سرویس خود را Start می  کند.
پس از این  کارها از درایو C شروع به جستجو نموده و دنبال فایل هایی با پسوندهای زیر می گردد:

*.VDB , *.AVC , *.KEY , *.EXE , *.SCR
 

به منظور جلوگیری از نمایش احتمالی پیغام خطا، ابت دا فایل ها را بررسی می  کند  که Protected نباشد. سپس اگر پسوند فایل های پیدا شده AVC ، VDB یا KEY بود ﺁنها را پاک می  کند. در صورتی که پسوند فایل های پیدا شده EXE یا SCR باشد، ابتدا نام ﺁنها را با نام بسیاری از برنامه های ضدویروس، فایروال ، دیباگر و ... مقایسه می  کند. اگر جز این دسته از برنامه ها بودند ﺁنها را پاک می  کند. در غیر اینصورت اقدام به ﺁلوده سازی ﺁنها می نماید.
از دیگر فعالیت های این ویروس می توان به موارد زیر اشاره نمود:
الف) مقدار کلید GlobalUserOffline در مسیر
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings را برابر صفر قرار می دهد تا برنامه Internet Explorer در حالت Offline نبوده و بتواند URLهای مورد نظر خود را در این برنامه باز  کرده و  کاربر را به سایت هایی خاص راهنمایی کند.

ب) مقادیر موجود در  کلیدهای زیر را در رجیستری پاک می کند:

Software\Microsoft\Windows\CurrentVersion\Ext\Stats

SOFTWARE\Micr osoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

SOFTWARE\Micro soft\Windows\CurrentVersion\Run

SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce