传播蠕虫的邮件使用下列主题：

Re: Here is that sample
Re: Document
Re: Sample
Re: Movies

　　附件名称可能是下面列表中的一个：

Sample.pif
Untitled1.pif
Document003.pif
Movie_0074.mpeg.pif

　　邮件的正文非常简单：

Attached file:

　　运行时，蠕虫会拷贝自己的副本到：

%windows%\winmgm32.exe

　　蠕虫也修改下面这两个注册表键值，以便每次Windows启动这份拷贝就会自动运行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM="%windows%\winmgm32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM="%windows%\winmgm32.exe"

　　注意：只有当这些注册表键值存在时，蠕虫才会修改注册表。所以，第2个键值在Windows98上不会存在，因为下面这个键值并不存在：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　蠕虫会搜索有下面这些扩展名的文件，以便向这些文件中的邮件地址发送e-mail。

txt
eml
html
htm
dbx
wab

　　蠕虫也尝试拷贝自己的副本到下面这个地方，从而传播到Windows的远程共享：

Documents and Settings\All Users\Start Menu\Programs\Startup Windows\All Users\Start Menu\Programs\StartUp

　　蠕虫会尝试从www.geocities.com站点上下载文件，而这个文件则包含了蠕虫下载以及运行的另外一个互联网地址。这个文件以"dwn.dat"为文件名被保存在Windows目录下。运行后，这个下载文件其实就是Win32.Zasil trojan.木马的一个变种。