Palyh se propaga a través de correo electrónico -utilizando
su propio motor SMTP- a todas las direcciones que recoge de los ficheros con
extensiones .TXT, .EML, .HTM*, .DBX, y .WAB, que se encuentren en el equipo
afectado.
El e-mail en el que el gusano llega al equipo muestra como remitente la
dirección [email protected]. Por su parte, el asunto del mensaje es
variable, siendo escogido a partir de una lista de opciones predeterminada,
entre las que se encuentran: Re: My application; Re: Movie; Cool screensaver; o
Screensaver. En el cuerpo del mensaje aparece el texto: All information is in
the attached file.
Finalmente, el nombre del fichero adjunto que contiene a Palyh es también
variable, pudiendo ser entre otros: your_details.pif; ref-394755.pif;
approved.pif; o password.pif. Sin embargo, debido a un error en el diseño del
gusano existe la posibilidad de que el fichero que se reciba muestre la
extensión .PI en lugar de .PIF.
Además, Palyh también puede propagarse a través de redes,
copiándose -en caso de encontrarlos- en los directorios de inicio de Windows de
los ordenadores conectados a la máquina infectada. Por otra parte, el gusano ha
sido diseñado para propagarse únicamente hasta el 31 de mayo.
Una vez que Palyh se encuentra en el equipo, trata de descargar archivos desde
cuatro direcciones de Internet, con el objetivo de llevar a cabo más acciones
maliciosas. Además, genera dos entradas en el registro de Windows para asegurar
su ejecución cada vez que se reinicie la máquina.