El mensaje con el que llega tiene las siguientes características:

Asunto: New antivirus tool.
Texto: Hey, checkout this new antivirus tool which checks your system for viruses.
Archivo adjunto: Antivirus.exe (28,672 bytes)

Cuando el usuario ejecuta el adjunto, el virus se copia a si mismo con el nombre SETUP30.EXE en la carpeta System de Windows y crea una clave en el registro para ejecutarse cada vez que se reinicia la máquina infectada. Tras su instalación, el virus espera cinco minutos y comprueba si la fecha del sistema es el 16 de septiembre y despliega una caja de texto con el siguiente mensaje: "System protected by I-Worm Antivirus. Copyright (c) 2001 by aLLgRo". Su rutina depende del día de la semana, por poner un ejemplo el domingo actúa como si fuese un anti-virus y elimina el virus Badtrans de la memoria y el martes se encarga de acabar con PrettyPark, siempre que el equipo esté infectado por ellos.

Aunque se pueda pensar que estas acciones son beneficiosas se tiene que tener en cuenta que también puede borrar otros archivos como los de extensión .VBS y los archivos MIRC.INI y SCRIPT.INI. Esto supone un peligro real puesto que podría hacer desaparecer documentos y programas importantes que habría que volver a instalar. Por último, utiliza comandos MAPI (Messaging Application Processing Interface) para leer los e-mails del usuario y autoenviarse a diez direcciones de correo que encuentre en la bandeja de entrada del mismo.