Заражает PE-файлы путем добавления в них новой секции и замены первых исполняемых байт программы на переход к своему "телу". После получения управления вирус расшифровывается, перехватывает некоторые функции для работы с файлами и перед возвратом управления оригинальной функции пытается заразить целевые файлы. Также перехватывает функцию MessageBox и подменяет выводимый заголовок сообщения на свой.