Jest to wirus rozprzestrzeniający się poprzez Internet oraz sieć lokalną. Pojawia się jako plik SETUP.EXE dołączony do wiadomości o temacie Ok.... Załączony plik ma rozmiar około 40 KB i powstał w języku programowania C++. Większa część pliku jest zajmowana przez biblioteki uruchomieniowe C++ oraz dane, natomiast czysty kod robaka ma rozmiar zaledwie 7 KB.

Nazwa Cholera pochodzi od tekstu zawartego w kodzie szkodnika:

CH0LERA - Bacterium BioCoded by GriYo / 29A 

Tekst ten jest, podobnie jak i reszta danych robaka, zaszyfrowany w pliku.

Instalacja w systemie

W chwili pierwszego uruchomienia (z zarażonego załącznika). Cholera instaluje się w katalogu Windows pod nazwą RPCSRV.EXE. By zmusić system do uruchomienia tego pliku podczas kolejnych załadowań, robak dopisuje dodatkową instrukcję "RUN=" do pliku WIN.INI w katalogu Windows.

By zlokalizować katalog Windows, robak nie uruchamia odpowiednich funkcji systemu, lecz skanuje wszystkie dostępne dyski lokalne, szukając podkatalogów o nazwach: WINDOWS, WIN95, WIN98, WINNT, a następnie wyszukuje plik WIN.INI w znalezionym katalogu. Jeśli taki plik zostanie znaleziony, robak instaluje się do danego katalogu.

W wyniku tych działań Cholera może stworzyć kilka swoich kopii na jednym komputerze i zainfekować wszystkie znajdujące się na nim instalacje Windows. Jeżeli na komputerze jest zainstalowany bootloader i kilka różnych wersji Windows, trik ten pozwala wirusowi aktywować się podczas uruchomienia każdej z nich.

By ukryć swą działalność robak wyświetla fałszywą wiadomość:

Cannot open file: it does not appear to be a valid archive. 
If you downloaded this file, try downloading the file again.
[ OK ] 

Dalsze rozprzestrzenianie

Podczas kolejnych uruchomień Windows, kopia robaka jest aktywowana przez polecenie RUN w pliku WIN.INI. Przejmuje on kontrolę, rejestruje się w pamięci jako ukryta aplikacja (niewidzialna usługa), co umożliwia mu pozostanie aktywnym nawet wtedy, gdy użytkownik się wyloguje. Następnie robak podejmuje dwie kolejne akcje. Pierwszą z nich jest przeniknięcie i rozprzestrzenienie się w sieci lokalnej, a drugą wysyłanie zainfekowanych przesyłek e-mail.

W dalszym ciągu jest jednak aktywny mechanizm instalacyjny. Pozwala to wirusowi zarażać wszystkie nowe kopie Windows, jeżeli pojawią się na komputerze. Wszystkie te działania są uruchamiane jako wątki głównego procesu, dlatego też pracują równolegle. W pierwszym etapie robak jest kopiowany poprzez sieć. Wyszukuje on wszystkie dyski sieciowe, przeszukuje ich katalogi Windows, kopiuje tam plik RPCSRV.EXE oraz rejestruje się w pliku WIN.INI. W wyniku tych działań podczas następnego załadowania systemu na zdalnym komputerze, robak zostanie aktywowany i będzie rozprzestrzeniał się dalej.

W drugim etapie infekcji robak rozsyła zainfekowane wiadomości. By przesłać swoją kopię używa on protokołu SMTP i przesyła się przez bezpośrednie połączenie, dlatego jego rozprzestrzenianie się nie zależy od typu programu pocztowego zainstalowanego w systemie. Raz na 6 sekund mechanizm ten przegląda wszystkie uruchomione programy, w poszukiwaniu aplikacji internetowych: Outlook, Cuteftp, Internet Explorer, Telnet, Mirc. Jeśli któraś z nich jest aktywna, najczęściej oznacza to, że komputer jest podłączony do Internetu (jest to konieczne, gdyż robak używa bezpośredniego połączenia SMTP).

Następnie Cholera pobiera z kluczy rejestru systemowego adres serwera SMTP oraz adresy e-mail, tworzy nową wiadomość, dołącza do niej swoją kopię o nazwie SETUP.EXE, a następnie wysyła ją. Adresy pod które są wysyłane zainfekowane wiadomości, wirus pobiera z plików w katalogu Windows (wraz z podkatalogami). Robak poszukuje tam plików z rozszerzeniami .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX, następnie pobiera z nich ciągi znaków podobne do adresów e-mail. Robak za każdym razem wysyła się pod nie więcej niż dziesięć adresów.