A Hitapop féreg elsősorban cserélhető adattárolókon keresztül terjed, és rendszeres időközönként különböző reklámablakokat jelenít meg.

A Hitapop féreg a Windows System könyvtárába több kártékony fájlt is létrehoz, amelyeket később felhasznál a terjedéséhez. A féreg a D meghajtón keres cserélhető adattároló eszközt (pl.: pendrive-ot), és amennyiben ilyet talál, akkor arra felmásolja a saját fájljait. Ezt követően arról is gondoskodik, hogy az adattárolók csatlakoztatásakor automatikusan elinduljon.

A Hitapop féreg megpróbálja hatástalanítani a számítógépeken futó biztonsági szoftvereket is.

Amikor a Hitapop féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\\AlxRes[véletlenszerű számok].exe
%System%\\scrsys[véletlenszerű számok].scr
%System%\\scrsys16_[véletlenszerű számok].scr
%System%\\winsys16_[véletlenszerű számok].dll
%System%\\winsys32_[véletlenszerű számok].dll
%Windir%\\winsys.ini

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
kulcsához hozzáadja a
"Userinit" = "C:\\WINDOWS\\System32\\userinit.exe,rundll32.exe %System%\\winsys16_[véletlenszerű számok].dll start" értéket.

3. Leállítja következő folyamatokat (amennyiben azok léteznek):
KRegEx.exe
KVXP.kxp

4. Létrehozza a következő fájlt:
D:\\myplay.pif

5. Létrehoz egy D:\\autorun.inf fájlt, amelynek révén a cserélhető adattárolók csatlakoztatásakor a féreg automatikusan elindul.

6. Megpróbál kapcsolódni egy weboldalhoz.

7. Időközönként reklámokat jelenít meg.