Червь распространяется по сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. При запуске червь регистрирует себя в ключе автозапуска системного реестра. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N_up.exe", где N - случайное число.
Источник