Las principales diferencias y características que, de momento, se han reportado en relación con la versión original cabe destacar las siguientes:

- Infecta archivos PE de 32 bits (Portable Executable).

- Los archivos infectados son encriptados mediante una clave no constante sino que dependiendo del nombre PC infectado, lo que hace que su desinfección sea más complicada.

- Para difundirse no sólo busca direcciones de correo en Outlook sino además y como novedad, en Eudora Mail.

- Sobrescribe el archivo WIN.COM de la carpeta C:\Windows y NTLDR en la unidad C:\ con otro, que en el momento del arranque, elimine todos los archivos del disco duro y de la unidades de red mapeadas con recursos compartidos.

- Al igual que la versión original, buscará carpetas Windows en cada unidad de red mapeada como WINNT, WIN95, WIN98, WINDOWS a las que añade WINME, WIN2000, WIN2K y WINXP. En el caso de encontrar alguna de estas unidades, se introduce en ellas y modifica los archivos WIN.INI y SYSTEM.INI con el fin de activar su rutina de infección en cada arranque.

- Busca archivos con la extensión .GIF, .DOC, .TXT o .INI y los envía en los mensajes infectados junto con archivos ejecutables que contienen el propio virus.

- Puede borrar todos archivos .NTZ.

- Tiene poder para deshabilitar el cortafuegos ZoneAlarm, en el caso de encontrarse instalado en la memoria del PC infectado.

Panda Software añade que un síntoma que podría delatar la presencia de este gusano en nuestros equipos es el hecho de que los iconos de nuestro escritorio se desplacen según lo hace el ratón.