Червь был обнаружен "в диком виде" утром 30 октября во Франции и Германии. Отличительной чертой данной вредоносной программы является ее способность к самообновлению (автоматической загрузке дополнительных функциональных компонент) через Интернет.
Червь состоит из двух частей: загрузчика и основного модуля. Копии загрузчика распространяется по сети Интернет при помощи электронной почты. Попав на компьютер, он внедряется в операционную систему и инициирует соединение с хакерским сайтом на популярном ресурсе бесплатных домашних страниц "Geocities". Оттуда червь пытается нелегально загрузить основной модуль для его установки на зараженном компьютере.
Главное предназначение основного модуля - backdoor-функции, т.е. несанкционированный сбор информации о компьютере и слежка за действиями пользователя. "Лаборатория Касперского" допускает, что автор червя может изменять назначение основного модуля, в том числе, в сторону придания ему более опасных разрушительных способностей.