Il worm, una volta eseguito nel sistema, si diffonde - oltre che attraverso le pen drive USB - attraverso tutti i dispositivi removibili, tra cui anche floppy disk. All'interno del dispositivo removibile il worm crea due file, un Autorun.inf e una copia di sé stesso denominata handydriver.exe. Il file di autorun è utilizzato per l'esecuzione automatica del worm non appena una pen drive usb viene inserita nel sistema.

Vengono inoltre create copie di sé stesso all'interno della directory di Windows e di sistema. Vengono aggiunte due chiavi di registro per l'esecuzione del worm all'avvio del sistema, sotto

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" [System]\userinit.exe,[System]\systeminit.exe

e

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Wininit" [System]\wininit.exe

Il worm, come payload non distruttivo, modifica il titolo della finestra di Internet Explorer con la frase Hacked by 1BYTE.

"Tutti gli utenti di PC dovrebbero stare attenti nell'inserire delle pen drive USB sconosciute all'interno del PC, soprattutto visto che queste stanno diventando sempre più diffuse per via del basso costo. Potrebbe essere una bella vulnerabilità per piccole, medie e grandi società, visto che tutti utilizzano oramai pen drive USB" ha dichiarato Graham Cluley, consulente tecnico per Sophos.

Se non strettamente necessario, è consigliabile disattivare l'autorun automatico in Windows per i dispositivi removibili, in modo tale da evitare l'avvio immediato nel momento in cui si inseriscono dispositibi esterni alla macchina.