A Xema vírus elsődleges célja, hogy cserélhető meghajtókon keresztül minél több, Windows operációs rendszerre épülő számítógépet tudjon megfertőzni.

A Xema vírus nagyon egyszerű felépítésű és működésű. Néhány állományt hoz létre a kiszemelt rendszereken, amelyeket a Windows Ssystem32 könyvtárába ment el. Ezt követően egy fájlt másol be az Indítópultba ("officexp" néven), és ezzel eléri, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni. Amint befejezte a saját állományainak másolgatását, akkor működésbe lép a terjesztéséért felelős komponense, amely a vírushoz tartozó kártékony fájlokat felmásolja a cserélhető adattárolókra.

A Xema manuális eltávolítását mindössze az nehezítheti, hogy a vírus megfertőzi az explorer.exe állományt, amely mögé megpróbál elrejtőzni, és észrevétlenül végezni a tevékenységét.

Amikor a Xema vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
c:\Documents and Settings\%User%\Start Menu\Programs\Startup\officexp.exe
%System32%\c_10810.nls 
%System32%\c_19460.nls 
%System32%\c_20462.nls 
%System32%\inter32.dll  
%System32%\msregsv.exe  
%System32%\serlibk.exe  
%System32%\shell64.dll  
%System32%\shlmon.exe 

2. A shell64.dll és az inter32.dll állományok révén megfertőzi az explorer.exe fájlt, illetve az ahhoz tartozó folyamatot.

3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "ShowSuperHidden" "0"
HKEY_CLASSES_ROOT\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\InProcServer32 "(Default)" "%System32%\shell64.dll"

4. Minden cserélhető meghajtóra felmásolja a saját állományát az alábbiak szerint:
\Recycled\[véletlenszerű fájlnév]