A Mariofev féreg elsősorban hálózati megosztásokon keresztül terjed, és a biztonsági szoftverek megbénítására törekszik.

A Mariofev féreg a Windows rendszerkönyvtáraiban történő károkozással kezdi a tevékenységét. Amellett, hogy számos fájlt létrehoz még a Windows egyes rendszerállományait is megfertőzi, ami a kártevő felismerését és irtását semmiképpen nem könnyíti meg. A féreg a regisztrációs adatbázis módosításával folytatja a "munkáját", amelybe új bejegyzéseket hoz létre, valamint meglévő kulcsokat változtat meg. A Mariofev a fertőzés folyamán többször kapcsolódik előre meghatározott távoli szerverekhez, amelyekről további kártékony összetevőket tölt le.

A féreg fontos jellemzője, hogy képes egyes biztonsági alkalmazások megbénítására, amit elsősorban azzal ér el, hogy a regisztrációs adatbázisban e szoftverekhez tartozó bejegyzéseket megváltoztatja, így a rendszerek védelmét esetenként megbéníthatja.

Amikor a Mariofev féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%SYSDIR%\adj.j
%SYSDIR%\aston.mt
%SYSDIR%\devh.e2
%SYSDIR%\e.spa
%SYSDIR%\nvaux32.dll
%SYSDIR%\rdxz.e
%SYSDIR%\[véletlenszerű karakterek]

2. A regisztrációs adatbázishoz hozzáfűzi az alább értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "st" [fertőzések száma]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "mid" [véletlenszerű karakterek]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "oupInit_Dlls" "nvaux32"

3. Csatlakozik egy távoli szerverhez.

4. Létrehozza a következő fájlokat:
%SYSDIR%\System32\aston.mt
%SYSDIR%\System32\Drivers\atmapi.sys
%SYSDIR%\System32\fop.e
%SYSDIR%\System32\kj.je
%SYSDIR%\System32\nvaux32.dll
%SYSDIR%\System32\r33.es
%SYSDIR%\System32\v1.e2
%SYSDIR%\System32\zed.pa 
%SYSDIR%\bmf.cs
%SYSDIR%\ccs.so
%SYSDIR%\gh.l
%SYSDIR%\mn.n
%SYSDIR%\ntpl.bin
%SYSDIR%\nvrsma.dll
%SYSDIR%\[véletlenszerű fájlnév]
%SYSDIR%\yl.po 

5. Módosítja az alábbi állományokat:
%SYSDIR%\user32.dll
%SYSDIR%\dllcache\user32.dll

6. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\[numerikus karakterek]
HKEY_LOCAL_MACHINE\SOFTWARE\[numerikus karakterek] [véletlenszerű számok] [véletlenszerű karakterek]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "ccnt" [a fertőzések száma]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "mid" [véletlenszerű hexadecimális érték]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "bjpInit_Dlls" "nvrsma" 

7. A regisztrációs adtabázisból kitörli vagy módosítja azokat az értékeket, amelyek különféle biztonsági szoftverekhez tartoznak.

8. Ismét csatlakozik egy előre meghatározott távoli szerverhez.