به طور کلی عملکرد این بدافزار بسیار ساده است. در وحله ی اول باعث می شود که کاربر یک برنامه کاربردی تحت عنوان ZvirOK 5.2! را نصب کند. نویسندگان بدافزار با قرار دادن شماره نسخه در انتهای نام این برنامه سعی داشته اند تا این برنامه را به عنوان یک برنامه مشروع جلوه دهند.
موضوع جالب دیگر اینکه کلمه ZvirOK تقریباً از کشور روسیه برگرفته شده است و این نشان می دهد که این بدافزار از کشور روسیه نشأت گرفته است. با این حال این برنامه به زبان چینی طراحی شده است که باعث سردرگمی در یافتن کشوری می شود که این بدافزار از آن نشأت گرفته است.
پس از نصب، بدافزار کد اسکریپتی phython بسیار ساده را اجرا می کند که از برخی از کتابخانه های نوکیا به منظور ارسال SMS حاوی پیام”mumym xxx joker90” به شماره 7205 استفاده می کند. 7205 شماره ای است که به عنوان کد کوتاه SMS، شماره تلفن خاص برای SMS و یا پیام های MMS که برای مسابقات و بازاریابی استفاده می شود، در نظر گرفته شده است.
تعداد ارقام کد کوتاه SMS در کشورهای مختلف متفاوت است. برای مثال در ایالات متحده این کد 5 یا 6 رقم می باشد. متأسفانه هم چین و هم روسیه از کد 4 رقمی استفاده می کنند. بنابراین هیچ سرنخی در مورد منشأ اصلی این بدافزار وجود ندارد.