Symantec ha recibido un número limitado de incidencias desde países asiáticos en las que el nuevo CIH.1049 había infectado archivos con el gusano Klez, nada extraño si tenemos en cuenta que estos archivos como ejecutables que son pueden ser por tanto víctimas de la infección de otros virus.

CIH.1049 es similar a las versiones anteriores salvo que su carga destructiva se activa el 2 de agosto en lugar del 26 de abril. Ese día, el virus sobrescribe el disco duro con datos aleatorios, empezando desde el sector 0 del disco. La corrupción del disco no finaliza hasta que el sistema queda corrupto. Como consecuencia de esta acción, el arranque del equipo no puede realizarse desde el disco duro o disquete además de inutilizar la información almacenada en él. 

Otra rutina dañina de CIH intenta causar un daño permanente al equipo. Este payload ataca la FLASH BIOS e intenta corromper los datos que se almacenan en ella.

Fuera de la fecha de activación, CIH se comporta como un virus residente en memoria que infecta archivos ejecutables .EXE en el momento de su ejecución pero sólo bajo sistemas Windows 95/98/Me, no bajo 3.1/NT/200/XP, DOS o Macintosh.

Los archivos infectados mantendrán su longitud original ya que CIH inserta su código en los espacios libres del archivo atacado. De esta forma, dificulta la detección de su actividad en el sistema por parte del usuario de manera más rápida.