このワームは流行した「ニムダ」ウイルス同様、 Internet Explorer のセキュリティホールを利用しメールをプレビューしただけで活動を開始する「ダイレクトアクション活動」を実現しています。メールの添付ファイルが実行されなくともメールがプレビューされたりオープンされるだけでメールの添付ファイルが実行されワームが活動を開始します。 メールに添付されるファイル名称はランダムに選択されたもので不定ですが、必ず拡張子が二重にあるファイルとなります。

活動：
　ワームのプログラムが実行されるとメモリに常駐します。ワームのプロセスはサービスとして常駐するのでCtrl-Alt-Delのタスクマネージャーには表示されません。

　そしてまず以下のファイルをWindowsのシステムディレクトリに作成します。

　Kernel32.exe
　cp_25389.nls
　kdll.dll

　上記ファイルのうち"Kernel32.exe"はワームのコピーです。すでにこのファイルが存在しシステムから使用中だったとしてもワームはプロセスを中止させ元からあるファイルを削除して新しく自身のコピーを作成します。
　"kdll.dll"は侵入したシステム上でのキー入力を記録するためのハッキングツールプログラムです。この"kdll.dll"も「WORM_BADTRANS.B」の名称で検出されます。"kdll.dll"も実行されるとサービスとしてメモリに常駐します。また　"cp_25389.nls"は"kdll.dll"が記録したキー入力の内容を暗号化して保存するためのログファイルです。
　次にWindowsのレジストリに以下の値を追加します：

　場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce
　　値：kernel32 = "kernel32.exe”

　これによってWindows起動時にワームが自動実行されるように設定されます。以上の設定を終えるとワームは実行された自身のファイルを削除してしまいます。

　このワームは大きく分けて自身を添付したメールを送信する「ワーム活動」とキー入力を記録する「ハッキング活動」の二種の不正活動を行います。

１）ワーム活動：
　ワームはMAPIを使用するメーラーの設定を調べ、自身のコピーを添付したメールを自力で送信します。ワームが自身でメールを送信するため、ワームのメールはメーラーの送信履歴には残りません。

　ワームは以下から取得したアドレスにメールを送信します：

　a.受信トレイにある未読メールの送信者のアドレス

　b.「マイドキュメント」フォルダ及び「temporary Internet files」フォルダ内にある"*.HT*、"*.ASP"（「*」はワイルドカード）というファイル名のファイル内から取得できたメールアドレス

　また、ワームは以下のレジストリからデフォルトメーラー情報を取得できた場合、メール送信に利用します。

　場所：\HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\
Accounts\0000000
　　値：SMTP Email Address
　　値：SMTP Server

　ワームが送信するメールは以下の内容です：

　送信者アドレス（From)：上記レジストリより取得したメールアドレス、もしくは以下の候補から無作為に選択したものが使用されます：

" Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
" Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
" Administrator"
" Admin"
"Support"
"Monika Prado"
"Mary L. Adams"

　件名：以下の候補から無作為に選択したものが使用されます：

"info"
"docs"
"Humor"
"fun"
　ただし、上述 a.の未読メールの送信者のアドレスに対して送信する場合は元メールの件名の先頭に"Re:"をつけたものになります。

　添付ファイル名：以下の候補から無作為に選択したものを使用した二重拡張子のファイル名（"＜ファイル名＞.＜拡張子1＞.＜拡張子2＞"の形式）となります：

ファイル名候補：
　"Pics"
　"images"
　"README"
　"New_Napster_Site"
　"news_doc"
　"HAMSTER"
　"YOU_are_FAT!"
　"stuff"
　"SETUP"
　"Card"
　"Me_nude"
　"Sorry_about_yesterday"

拡張子1候補：
　".DOC."
　".ZIP."
　".MP3."

拡張子2候補：
　"scr"
　"pif"

　ファイル名例："Pics.DOC.scr"、
"Sorry_about_yesterday.MP3.pif"

　本文は空白になります。

　ただし、ウイルスコードのバグのためか添付ファイルのエンコード情報が正常に記述されない状態でメール送信を行う場合があることが確認されています。この場合、添付ファイルは正常にデコードできず言わば壊れて実行不可能な状態になりますので、ウイルス活動の危険もありません。

２）ハッキング活動
　ワームはシステムのRASアカウントやコンピューター名を取得する活動を行います。ハッキングツール部分である　"kdll.dll"はメモリに常駐し、キー入力を記録する活動を行います。"kdll.dll"は"GetData"、"KeyLogOn"、"KeyLogOff"、
"KeyLogOpt"の４つのファンクションを監視するとともに、すべてのキー入力を入力したユーザー名や入力された時間などの情報とともに記録します。

　キー入力ログの例：

Sun, 25 Nov 2001 06:39:49, Computer: "PC1" User:
"Administrator"

Title: "Run", 06:41:04
cmd.exe

Title: "Untitled - Notepad", 06:41:13
Testing keylogging in notepad.

　記録した情報は、外部に送信される可能性があります。