Az MSNWorm.GI féreg elsősorban az MSN Messenger azonnali üzenetküldő szolgáltatásain keresztül próbál minél több számítógépre felkerülni.

Az MSNWorm.GI nevű féregnek igazán csak egyetlen célja van: minél több számítógépet megfertőzni. A kártékony program a Microsoft azonnali üzenetküldő szolgáltatását szemelte ki magának, és annak kihasználásával igyekszik terjedni. A módszere azonban nagyon hasonlít a többi, ilyen jellegű kártékony programéhoz. Amint rákerül egy számítógépre, akkor feltérképezi, hogy elérhető-e az MSN Messenger alkalmazás. Ha igen, akkor elkezd a címlistában szereplő személyek számára üzeneteket küldözgetni. Ebben arra próbálja rávenni a gyanútlan felhasználókat, hogy egy linkre kattintva tekintsenek meg egy fényképet. A féreg által generált URL első ránézésre a Facebookra hivatkozik, azonban a valóságban egy kártékony weboldalra mutat, amelyről a féreg képes letöltődni. A kártevő a fertőzött rendszerek alapértelmezett böngészőjében a Facebook hivatalos weboldalát is megjeleníti, de mindezt csak megtévesztési célokkal teszi.

Az Isidor Biztonsági Központ jelentése szerint az MSNWorm.GI olyan állományok formájában terjed, amelyek dupla (.jpg.exe) kiterjesztéssel rendelkeznek.

Amikor a MSNWorm.GI féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%Windows%/MSNMSGRSS.EXE

2. A regisztrációs adatbázishoz hozzáfűzi az alább bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows UDP Control Center = msnmsgrss.exe

3. Megvizsgálja, hogy a fertőzött rendszeren fut-e az MSN Messenger. Amennyiben igen, akkor elkezd üzeneteket küldözgetni a címlistában szereplő személyek számára.

4. Az elküldött üzenetekben szereplő hivatkozás egy kártékony weboldalra mutat, amelyről a féreg fájlja kerülhet rá a számítógépekre.

5. Megtévesztés céljából az alapértelmezett böngészőben megjeleníti a Facebook hivatalos weboldalát.