A Scrimge.A féreg elsősorban MSN Messengeren terjed, és a fertőzött számítógépeken egy hátsó kaput nyit, amelyen keresztül fogadja a támadók parancsait.

A Scrimge.A féreg amint rákerül egy számítógépre azonnal leállítja a Windows Biztonsági Központját és a "winvnc4" nevû szolgáltatást. Ezt követően számos fájlt hoz létre, majd nyit egy hátsó kaput a 1863-as TCP porton. Ezen keresztül a támadók az alábbi mûveleteket hajthatják végre:
- a féreg frissítése
- fájlok letöltése
- a kártevő eltávolítása

A Scrimge.A leggyakrabban az MSN Messenger azonnali üzenetküldő szolgáltatásokon keresztül jelenik meg. Ekkor megtévesztő üzenetek révén egy zip fájl letöltésére, és megnyitására próbálja rávenni a felhasználókat.

Amikor a Scrimge.A féreg elindul, akkor az alábbi mûveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%SystemRoot%\a.bat

Ennek segítségével leállítja a Windows Biztonsági Központját, valamint a winvnc4 szolgáltatást (amennyiben azok futnak)

2. Létrehozza az alábbi állományt:
%Windows%\svchost.exe

3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"

4. A Windows könyvtárába bemásol egy img1756.zip nevû állományt.

5. Csatlakozik egy távoli szerverhez a 1863-as TCP porton keresztül, majd további parancsokra várakozik.

6. MSN Messengeren keresztül megpróbál tovább terjedni egy img1756.zip nevû állomány révén.