Luego, desde DOS se conecta por FTP al site "philamuseum.netreach.net" donde se registra con el nombre de usuario ftp y la contraseña foo.com, pero conviene advertir que esta página ya no permanece en actividad. Después, vuelve a utilizar FTP para descargarse el archivo DNSSERVICE.EXE que permanece residente en memoria como servicio invisible en el administrador de tareas.

Como muchos otros, Chlade crea también una entrada en el registro del sistema:

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TaskReg = (ruta más nombre de archivo del gusano)", para ejecutarse cada vez que se reinicie Windows.

Las investigaciones coinciden en que el peligro máximo de este gusano se encuentra en la capacidad que posee para realizar ataques distribuidos de denegación de servicio (DDoS) para lo que conecta los servidores SQL infectados con un servidor IRC donde se recibirán las instrucciones del atacante. No obstante, primero busca servidores DNS incluidos en el dominio bots.kujikiri.net, éstos enviarán las seis direcciones IP de servidores IRC:

65.161.40.1
198.31.210.184 (toyou.toyou.cc)
64.154.61.232 (astro.dal.net)
209.116.7.97 (station97n.dscga.com)
205.188.253.227 (irc02.icq.com)
205.188.253.230 (irc05.icq.com)

Entonces, de manera aleatoria Chlade selecciona una de estas IP y, utilizando nombres de usuario al azar, se conectará a ella a través del puerto 6669. Cuando esto ocurre, el servidor SQL sólo tiene que esperar a recibir las órdenes del intruso.

El primer paso que se debe tomar para evitar la infección por este gusano es modificar la contraseña de administrador que este tipo de servidores instala por defecto. Además, también conviene recordar la necesidad de parchear todos los programas vulnerables y extremar al máximo las medidas de seguridad tanto en redes corporativas como en PC´s domésticos.