После заражения MS Word вирус переходит к заражению выполняемых файлов Windows. При этом он ищет и заражает .EXE- и .SCR-файлы в текущем каталоге и каталоге Windows, затем определяет имена установленных Интернет-броузера и электронной почты по ключам системного реестра:
HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\htmlfile\shell\open\command SOFTWARE\Classes\mailto\shell\open\command
и так же заражает их.
Заражения броузера и элестронной почты необхобимо вирусу для распространения своих копий в Интернет. При доступе в Интернет одна из этих программ оказывается активной, что влечет за собой активность копии вируса, которая перехватывает прием/отправку писем и добавляет к ним зараженное вложение.