Lentin llega incluido en un archivo adjunto a un mensaje de correo electrónico con asunto y cuerpo variable. Dicho archivo tiene un nombre aleatorio, pudiendo ser, entre otros, loveletter, resume, biodata, dailyreport, mountan, goldfish, weeklyreport, report, o love.  Además, el archivo tiene dos extensiones, pudiendo ser la primera de ellas ".doc", ".mp3", ".xls", ".wav", ".txt", ".jpg", ".gif", ".dat", ".bmp", ".htm", ".mpg", ".mdb", ".zip" o ".scr", y la segunda, ".pif", ".bat", o ".scr".

Cuando el archivo es ejecutado, bien de forma automática debido a la mencionada vulnerabilidad de Internet Explorer o porque el usuario hace doble click sobre el archivo, Lentin se reenvía a todas las entradas de la libreta de direcciones de Windows y, en caso de encontrarse instalados en el equipo, también se envía a través de MSN Messenger y de la aplicación de chat ICQ.

Además, el gusano crea varios archivos en el equipo. Uno de ellos tiene nombre variable y extensión ".txt", siendo su contenido:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & fUCk tHE GFORCE-pAK shites
bY
sNAkeeYes,c0Bra
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

Adicionalmente, Lentin añade una entrada al registro de Windows con el fin de asegurar su presencia en el ordenador afectado.

Otros fabricantes anti-virus también recogen ya en sus escáneres anti-virus este nuevo código malicioso bajo el nombre de Yaha.F, Yaha.E, Yaha.G o Lentin.F.