A levél hamisított feladóval érkezik, és az alábbi szöveget tartalmazza:
Tisztelt felhasználó!

Önnek képeslapja érkezett!
A képeslap feladója: Brigi
A lapot az alábbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623 cv2
vagy a mellékelt internetlink kattintásával.

Üdvözlettel: Matav e-card!
http//www.netezz.matav.hu/

A weblink a levélben valójában hibás, a http után nincs kettőspont, ez feltehetően szándékos, hogy a csatolt mellékletet futtassa a felhasználó. A melléklet neve: „link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com”, ami egy futtatható állomány. A féreg indítása után véletlenszerű névvel bemásolja magát a windowssystem32 mappába, illetve gondoskodik a fájl automatikus indításáról egy registry bejegyzés segítségével. A kulcs neve véletlenszerűen választott.

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
A féreg leállítja a Feladatkezelő és a Registry editor alkalmazásokat, ha azok az eredeti nevükkel futnak, átnevezve azonban futtathatóak.