Este atacaba computadoras que ejecutaran el servidor web de Microsoft Internet Information Server, IIS.El gusano se extendía aprovechando una vulnerabilidad muy común conocida como "buffer overflow", en el archivo IDQ.DLL.[cita requerida] La carga útil del gusano incluía un Defacement a la página que indicaba que la máquina había sido infectada: Cuando el virus accede a una computadora vulnerable, examina la existencia del archivo C:\NOTWORM (el cual ha creado el propio gusano y que le servía para identificar equipos ya infectados).Si no existe, el gusano continúa su infección, de lo contrario permanece en la máquina sin realizar ninguna tarea, a la espera y latente para que la infección se pueda extender y propagar por la red con una facilidad mayor.Si la fecha es mayor al día 28, los diferentes threads (hilos de ejecución) creados en la primera etapa de la infección, quedan en un bucle infinito, causando la inestabilidad y la caída del servidor.
Un sitio web desfigurado por el virus informático.
