Het voert scan`s uit op poort 445 en tracht vervolgens deze systemen binnen te komen door een willekeur aan "logische" wachtwoorden te gebruiken. Indien de systemen eenvoudig zijn beveiligd en de worm binnenkomt installeert het zich op dit systeem.

Installatie houdt in dat Lioten het bestand "iraq-oil.exe" (grootte: 16.896 bytes) plaatst in de standaard Windows-sytem directory. Deze wordt vervolgens gebruikt voor verdere verspreiding en infectie. Dit bestand wordt via een schedule-programma beheerd. Dit programma "NetScheduleJobAdd" zit standaard niet in bijv. Win95/98 en kan zich om die reden dan ook niet vanaf een dergelijk systeem verspreiden.

Gebruikte wachtwoorden:
Lioten gebruikt de onderstaande lijst van wachtwoorden:

server
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1
654321
123456
1234
123
111
root
admin

Preventieve maatregelen:
Herkenning van besmetting:

- Aanwezigheid van het bestand "iraq-oil.exe" in de standaard Windows-sytem directory.

Verwijder instructies:
-Verwijder het virus met één van de gratis online scanners