Lo primero que hace el virus es comprobar el estado del puerto de comunicaciones número 445. Si la comunicación es satisfactoria, el gusano inicia la ejecución de dos archivos batch llamados sencs.bat e incs.bat, tratando de localizar recursos de máquinas remotas utilizando para ello una lista de contraseñas predeterminadas.
Así, el gusano accede al ordenador a traves de dicho puerto enviando, simultáneamente, un troyano llamado “Trj/W32.Apher” que crea una puerta trasera en el ordenador del usuario descargando un fichero desde varias direcciones de Internet.
Para poder continuar propagándose, “Randon” descarga otros ficheros para conectarse a un servidor IRC y realizar ataques de denegación de servicio distribuido y saturación en los canales. Además, comprueba el estado del puerto 445 de los equipos de los usuarios que están conectados al mismo chat que el usuario infectado.
Por último, el virus crea entradas en el registro de Windows para asegurar su ejecución de forma permanente en el sistema. Aunque este virus no tiene efectos destructivos, podría llegar a saturar una red, según informó la empresa Panda.