Jest to pasożytniczy, rezydentny, zaszyfrowany wirus Win32. Jego ofiarami są pliki wykonywalne Windows, do których końca dołącza swój kod modyfikując konieczne zapisy w ich nagłówkach. Wirus w żaden sposób nie ujawnia swojej obecności.

Szkodnik zawiera tekst:

Virus "SANTANA" created by Net'$ Wa$te [RespawneD EViL] 

Gdy uruchamiany jest zainfekowany plik wirus przejmuje kontrolę nad systemem, deszyfruje swój kod i wywołuje swój mechanizm podstawowy. Mechanizm ten analizuje jądro Windowsa w poszukiwaniu potrzebnych adresów dostępu do funkcji systemowych. W przypadku środowiska WinNT wirus dodatkowo wywołuje specjalistyczny mechanizm zarażania: wyszukuje pliki PE EXE w katalogu bieżącym, infekuje je i zwraca kontrolę do systemu.

W przypadku systemu Win9x wirus analizuje obszar pamięci sterowników VxD, wyszukuje w niej wolne obszary (obszary zapisane samymi zerami). W przypadku braku takich wolnych obszarów wirus uruchamia ten sam mechanizm zarażania co w przypadku systemu NT. Gdy obszar wolny zostanie znaleziony, wirus kopiuje do niego swój kod, przełącza się w tryb pracy jądra (Pierścień 0), przejmuje funkcję Windows SetCurrentDirectoryA (wybieranie nowego katalogu) i pozostaje w pamięci systemu jako jeden z komponentów jądra Windows. W przypadku zmiany katalogu bieżącego wirus potrafi odnaleźć miejsce ulokowania mechanizmu zarażania.