Finaldo.B llega oculto en un mensaje de correo que carece de asunto y texto en el cuerpo del mismo. E archivo adjunto, que se hace pasar por un archivo tipo audio/x-wav codificado en formato MIME, carece de nombre, su extensión es .EXE y su tamaño 46 Kb, está acompañado por un icono de la bandera de la República Popular China.

Una vez en el PC, el gusano crea un archivo llamado FINALDOOM.DLL (comprimido con la utilidad UPX y atributo oculto) en el directorio temporal de Windows. Esta DLL es la encargada de infectar todos los archivos PE con las extensiones .EXE, .OCX y SCR que encuentre en unidades locales y de red compartidas. Una vez realizada la infección, la librería DLL se elimina. Además, Finaldo infecta archivos con las extensiones .HTM, .HTML y ASP incluyendo código en JavaScript que abre una ventana en el explorador con el archivo FINALDOOM.EML infectado.

A partir de ese momento, comenzará su rutina de propagación, para ello utiliza funciones MAPI con las que localiza las direcciones de correo de la bandeja de entrada. Una vez conseguidas, utilizará los servidores de correo SMTP de dichas direcciones para difundirse de la siguiente forma: SMTP.direccion.com, MAIL.direccion.com, WWW.direccion.com o EMAIL.direccion.com.

Los archivos que resultan infectados incluyen la cadena de texto "Coded_by_CJH" seguida de 8 dígitos en hexadecimal que representan la cantidad de archivos que se han infectado hasta el momento. Además, el código del gusano recoge el siguiente texto: "Code by Finaldoom".