Al hacer un click en el archivo infectado el gusano se auto-copia a la carpeta %WinDir%\KN0X.EXE y para ser ejecutado la próxima vez que se inicie el sistema agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinSrv" = C:\Windows\kn0x.exe 

Inicialmente muestra esta caja de diálogo en la pantalla: 



Luego obtiene del registro de Windows la información de la configuración del servidor SMTP (Send Mail Transfer Protocol) del sistema, instalado por defecto: 

• SMTP Server
• SMTP Display Name
• User
• SMTP Email Address 

Las direcciones de correo son capturadas de los archivos temporales de Internet, del sistema infectado y escritos en un archivo que el gusano crea, de nombre EMAIL.TXT. 

El gusano se auto-copia al directorio vigente con uno de los siguientes nombres de archivos con extensión .EXE contenidos en su código viral:

Inmediatamente libera un archivo .BAT de apenas 21 bytes con estas instrucciones: 

@echo off 
ctty nul 

Este archivo puede tener varios nombres, extraídos del sistema, siempre con las extensiones .theme o .bat, pero su instrucción ctty nul puede deshabilitar algunas funciones o dispositivos de Windows 95/98/Me/NT/2000/XP. 

Haciendo uso del servidor SMTP el gusano se auto-envía a las direcciones de correo que registró en el archivo EMAIL.TXT. 

El gusano busca los siguientes directorios en el sistema: 

C:\PROGRAM FILES\KAZAA\MY SHARED FOLDER 
C:\KAZAA\MY SHARED FOLDER 

En caso de existir estas carpetas, el gusano se auto-copia en las mismas, innumerables veces, con los siguientes nombres de archivos:

Los mismos que serán compartidos en la red Kazaa.

Finalmente el gusano intenta descargar un programa utilitario compresor, desde una dirección remota de Internet, de nombre ZIPPY.EXE