当病毒被运行，它将从 Windows 地址簿(WAB)中获取用户地址，并试图下载并运行一个二进制程序。

当病毒在发送邮件的时候，会避免使用包含以下信息的邮箱地址 -

microsoft
support
software
webmaster
postmaster
admin

病毒会构造一个 html 格式的文件包含 -

A href="http://drs.yahoo.com/%recipient domain%/NEWS/*http://www.security-warning.***/*********/*******/www.YAHOO.com/#http://drs.yahoo.com/%recipient domain%/NEWS" http://drs.yahoo.com/%recipient domain%/NEWS

上面的 "%recipient domain%" 将会替换为目标域名。病毒会在该连接中加入多个星号来保护自己。

病毒会在邮件支持 html 格式的客户端中创建一个简单的 URL。该 URL 会显示为 -

http://drs.yahoo.com/hotmail.com/NEWS

如果使用 "hotmail.com"，那么当点击该连接的时候将会下载病毒拷贝。该连接现在已经不再有效或者已经被禁止。