El archivo ejecutable tiene el icono de una animación de Shockwave Flash que al ser ejecutado manipula las funciones de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado, se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express.

Un error de programación en el código del gusano ocasiona que este envío masivo falle si el archivo anexado se guarda en una carpeta diferente a C:\WINDOWS\TEMP. De lo contrario modifica la siguiente llave del registro:

[HKCR\exefile\shell\open\command]

La misma que será cambiada a C:\Windows\Temp\Kiray.EXE y el archivo anexado será ejecutado cada vez que se intente activar cualquier archivo ejecutable del sistema. Luego modifica las siguientes llaves:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDeskTop]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoNetSetup]

Como consecuencia de estas modificaciones, al re-iniciar el sistema se ocultará el Escritorio (Desktop) en la pantalla de Windows, donde normalmente se muestran los íconos de acceso directo a los programas del sistema y la barra de tareas, asimismo se deshabilitará el acceso a la Propiedades de Red del Panel de Control. 

En el caso de que falle el auto-envío masivo, su payload destructivo borrará todos los archivos de las carpetas: