Palyh se propaga a través de correo electrónico -utilizando su propio motor SMTP- a todas las direcciones que recoge de los ficheros con extensiones .TXT, .EML, .HTM*, .DBX, y .WAB, que se encuentren en el equipo afectado.


El e-mail en el que el gusano llega al equipo muestra como remitente la dirección [email protected]. Por su parte, el asunto del mensaje es variable, siendo escogido a partir de una lista de opciones predeterminada, entre las que se encuentran: Re: My application; Re: Movie; Cool screensaver; o Screensaver. En el cuerpo del mensaje aparece el texto: All information is in the attached file.

Finalmente, el nombre del fichero adjunto que contiene a Palyh es también variable, pudiendo ser entre otros: your_details.pif; ref-394755.pif; approved.pif; o password.pif. Sin embargo, debido a un error en el diseño del gusano existe la posibilidad de que el fichero que se reciba muestre la extensión .PI en lugar de .PIF.

Además, Palyh también puede propagarse a través de redes, copiándose -en caso de encontrarlos- en los directorios de inicio de Windows de los ordenadores conectados a la máquina infectada. Por otra parte, el gusano ha sido diseñado para propagarse únicamente hasta el 31 de mayo.

Una vez que Palyh se encuentra en el equipo, trata de descargar archivos desde cuatro direcciones de Internet, con el objetivo de llevar a cabo más acciones maliciosas. Además, genera dos entradas en el registro de Windows para asegurar su ejecución cada vez que se reinicie la máquina.