При запуске зараженного EXE-файла вирус получает управление и проверяет под какой операционной системой он запущен. Если это WindowsNT, то вирус возвращает управление исходной программе. В противном случае (Windows95/98) вирус ищет и заражает все PE EXE-файлы в текущем каталоге, а также в каталогах \WINDOWS и \WINDOWS\SYSTEM на текущем диске. Свое тело вирус дописывает в конец последней секции файла, предварительно увеличив ее размер, и необходимым образом модифицирует PE-заголовок файла. По причине ошибки вирус портит EXE-файлы, если размер их последней секции превышает 64Kb - вирус записывает себя не в конец секции, а в ее середину, в результате чего файл оказывается неработоспособен.