, когда любопытный пользователь пожелает узнать, что содержится в присоединенном исполнимом файле с произвольно выбранным именем. Червь может получать команды на порт 8866, что дает возможность удаленного управления зараженным компьютером. Размножается червь через встроенный SMTP-сервер, но после 25 февраля теряет эту способность.