При заражении PE EXE-файлов вирус разбирает их структуру, создает дополнительную секцию в конце файла, записывает в нее свой зашифрованный код и таблицу импортов. Поскольку вирус при заражении переназначает адрес таблицы импортов, то для того, чтобы сохранить импорты заражаемого файла, он добавляет переносит из них необходимые данные и даписывает к собственной таблице импортов. В результате при загрузке зараженных файлов Windows настраивает адреса импортируемых функций как по вирусной таблице, так и по первоначальной таблице зараженного файла.
Для того, чтобы "зарегистрировать" свою секцию в файле, вирус необходимым образом правит поля PE-заголовка. Делается это достаточно аккуратно и зараженные файлы в большинстве случаем работоспособны под всеми версиями Windows32 включая WinNT.