Amikor a webszerver megfertőződik, a féreg előkészíti működését: az IIS Server szolgáltatásban beazonosítja a Kernel32.dll alapcímét. Ezek után megnézi a GetProcAddress címét, majd meghívja ezt, hogy hozzáférést szerezhessen néhány API címhez:
LoadLibraryA
CreateThread
..
..
GetSystemTime
Ezek után betölti a WS2_32.dll állományt, hogy olyan funkciókhoz is hozzáférhessen, mint a socket, closesocket és WSAGetLastError. A User32.dll-ből hozzáfér az ExitWindowsEx-hez, melyet arra használ, hogy a rendszert újraindíthassa. A fentieket követően két különböző jelzőt ellenőriz le. Az első, a 29A a Trojan.VirtualRoot telepítését felügyeli, a másik a CodeRedll. Amennyiben ez utóbbi létezik, a féreg nyugalmi állapotba kerül.
Ezt követően leellenőrzi az alapértelmezett nyelvet; amennyiben ez kínai (vagy tajvani), létrehoz 600 új végrehajtási szálat, ellenkező esetben csak 300-at. Ezek révén véletlenszerűen létrehoz IP-címeket, amelyeket arra használ, hogy új webszervereket fertőzzön meg. Amíg ezen végrehajtási szálak futnak, a féreg felmásolja a Cmd.exe állományt a System könyvtárból az alábbi mappákba (ha azok léteznek):
C:/Inetpub/Scripts/Root.exe
D:/Inetpub/Scripts/Root.exe
C:/Progra~1/Common~1/System/MSADC/Root.exe
D:/Progra~1/Common~1/System/MSADC/Root.exe
Ha a féreg felmásolta a trójait a rendszerre, a következő Registry kulcsot módosítja oyan módon, hogy néhány új kulcsot ad hozzá és a felhasználócsoportot 217-re állítja: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots. Ennek a változtatásnak a révén a támadó egy HTTP GET kérelemmel képes teljes irányítást szerezni a webszerver felett.
A központi feldolgozás 48 órát pihen kínai számítógépeken, egyéb országokban található rendszerekben 24 órát tölt nyugalmi állapotban. Ezalatt az IP-címeket generáló végrehajtási szálak nem pihennek, és igyekeznek minél több, még tiszta rendszert megfertőzni. Amikor letelt a 24 vagy 48 óra, a féreg újraindítja az operációs rendszert (ez akkor is bekövetkezhet, ha a rendszerdátum 2002. októbere).
A féreg felmásolja a command shellt (Cmd.exe) az IIS webszer alapértelmezett végrehajtás-engedélyezett könyvtárába, így téve lehetővé a távoli vezérlést. Rejtett, rendszer és csak olvasható attributummal a C és a D meghajtó gyökerébe felmásolja az Explorer.exe nevű állományt, amely tulajdonképpen a Trojan.VirtualRoot nevű trójai program. Ezek után a trójai lefut, amikor a rendszer az Explorer.exe-t akarná indítani. Ekkor már a féreg inaktívvá válik, azaz addig nem képes a továbbterjedésre, amíg újra meg nem fertőződik a rendszer.
A trójai megváltoztatja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcs SFCDisable bejegyzésének értékét 0xFFFFFF9D-re. Ezzel letiltja a System File Checker (SFC) működését.