Jest to robak rozprzestrzeniający się poprzez Internet. Sam wirus jest plikiem wykonywalnym (EXE) o wielkości około 70 KB. Rozprzestrzenia się jako załącznik zainfekowanych wiadomości e-mail.

Nazwa zainfekowanego załącznika jest losowana z 26 możliwości:

• panther.exe
• gadget.exe
• irngiant.exe
• casper.exe
• fborfw.exe
• cupid2.exe
• party.exe
• bboy.exe
• baby.exe
• goal.exe
• theobbq.exe
• panthr.exe
• chestburst.exe
• farter.exe
• boss.exe
• monica.exe
• saddam.exe
• party.exe
• hog.exe
• goal1.exe
• pirate.exe
• video.exe
• copier.exe
• cooler1.exe
• cooler3.exe
• g-zilla.exe

Temat wiadomości to Just for your eyes. Tu także są rożne możliwości - czasami robak dodaje przedrostek Re: do różnych tekstów (odpowiedzi na listy znalezione w programie pocztowym).

Treść wiadomości jest następująca (format zwykłego tekstu):

he, your lame client cant read HTML, haha.
click attachment to see some stunningly HOT stuff 

format HTML:

Hypercool Happy New Year 2000 funny programs and animations...
We attached our recent animation from this site in our mail! Check it out! 

Gdy z zainfekowanej wiadomości uruchamiany jest plik EXE robak przejmuje kontrolę i instaluje sie w systemie. Kopiuje się pod taką nazwą, jaką posiada plik EXE do katalogu Windows i rejestruje tę kopię w kluczu:

SOFTWAREMicrosoftWindowsCurrentVersionRun
"tpawen" = "C:WINPANTHER.EXE /x"

Nazwa wirusa (w tym wypadku PANTHER) nie jest stała i zależy od wylosowanej nazwy pliku EXE.

By zamaskować swoją działalność robak wyświetla fałszywą informację:

The dinamic link library
C:WINDOWSSYSTEM;C:WINDOWS;C:WINDOWSCOMMAND; 

gdzie druga linia jest katalogiem systemowym zainfekowanej stacji roboczej z dodaną wartością zmiennej środowiskowej PATH.

Wirus tworzy również i inicjuje na swoje potrzeby następujące klucze rejestru:

HKEY_CURRENT_USERSoftwareMicrosoftWindows
itn =
cat =
cd =
lk =
lms =
mda =
mde =

Następnie robak rejestruje się jako usługa systemowa (niewidzialna na liście zadań) i rezyduje w pamięci jako ukryta aplikacja. Główna funkcja robaka (są dwie pracujące w tle) skanuje okresowo dyski w poszukiwaniu plików aplikacji związanych z Internetem (MS Mail, Outlook Express, Netscape Navigator i innych), otwiera je i wysyła swoje kopie pod adresy z nich pobrane.

Czas życia robaka

W dniu 12 czerwca 2000 robak usuwa ciąg Run= z rejestru i nie instaluje sie już w systemie. Tak więc czas jego życia jest ograniczony przez tę właśnie datę. Kopia wirusa pozostaje jednak w systemie i w przypadku ustawienia daty systemowej na niewłaściwą, może się aktywować.

Fukncja aktywujÄ…ca

Główna funkcja wirusa aktywuje się o godzinie 00:00, 26 grudnia. Co każde 3 sekundy robak stara się połączyć ze zdalnym komputerem w firmie Microsoft - jest to standardowy atak DoS (Deny of Service - blokowanie działania).

Niezależnie od daty systemowej, ale w zależności od innych warunków robak próbuje wybrać losowy numer telefoniczny.