Microsoft je sicer popravek za Plug-and-Play objavil pred petimi dnevi pod oznako MS05-039, črv pa z okuženega računalnika preko FTP protokola sname in zapiše datoteko botzor.exe ter nastavi, da se požene ob vsakem naslednjem zagonu računalnika.

Poleg tega na vsakem okuženem računalniku namesti FTP strežnik, kar omogoča nadaljnje razmnoževanje. Po okužbi prične računalnik izbirati naključne računalnike na internetu in jih poskuša okužiti. Črv se poveže tudi na poseben IRC kanal, kjer avtor črva lahko upravlja okužen računalnik - prenaša in poganja poljubne datoteke, briše datoteke ali namesti novejšo verzijo črva.

Črv ne okuži računalnikov z operacijskim sistemom Windows XP SP2 in tistih, ki imajo naložene vse doslej znane varnostne popravke ali pa imajo nameščen požarni zid.