El gusano, para proceder a su infección, abre una puerta trasera y utiliza el Messenger para circular un mensaje que incita a los usuarios a que se descarguen un archivo ejecutable denominado BR2002.exe desde un sitio web. En el mensaje se pregunta a los usuarios si "podría verificar este programa por mí? Lo he hecho y quiero que la gente lo pruebe". Mediante un enlace se accede a una página web donde se encuentra el gusano. El troyano es conocido como BKDR-EVILBOT y puede ser accesible y manipulado con comandos transmitidos al emplear el IRC.