Il worm giunge con una  e-mail di questo tipo:

Oggetto: Happy New Year
Corpo: Hii
I can’t describe my feelings
But all i can say is
Happy New Year :)
Bye
Allegato: CHRISTMAS.EXE

L'allegato al messaggio è  un programma scritto in Visual Basic e mascherato con l'icona tipica di un filmato in Flash.
Una volta lanciato, il programma è disabilita alcuni tasti della tastiera e apre in sequenza un gran numero di finestre. Oltre a questo, il worm  può cancellare tutti i file che si trovano nelle directory di sistema di Windows (%system%) rendendo in questo modo il computer inutilizzabile e modifica il registro con queste modalità:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\ZaCker = “%windows%\CHRISTMAS.EXE”

HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Control\ComputerName\
ComputerName\ComputerName = “ZaCker”

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\Start page = Link di un sito  su Geocities

Successivamente si autoinvia a tutti gli indirizzi e-mail trovati nella rubrica di Outlook e MSN Messenger.
Il worm sostituisce la pagina iniziale di Internet Explorer indirizzandola verso un sito  contenente codice JavaScritp in grado  di installare sul PC vittima delle  backdoor gestibili  via mIRC e script per la cancellazione dei più comuni antivirus. Il sito, ospitato su Geocities, contiene diversi messaggi antisemiti, fra cui questo: "Sharoon = a war crimenal. Bush supports him. So... Bush = a war crimenal "(sic).


Ricordiamo di prestare sempre la massima cautela nell'aprire file allegati alle e-mail della cui origine non si sia certi e di esercitare la massima prudenza anche in presenza di  allegati provenienti da conoscenti, ma che non erano attesi.