Para aprovecharse de la vulnerabilidad de ejecución remota de código en Plug and Play (PnP), los distintos virus detectados en las últimas horas generan direcciones IP aleatorias a las que tratan de conectarse a través del puerto 445, en busca de sistemas vulnerables.

En caso de encontrar alguno, enviará instrucciones para descargar una copia suya por TFTP (una versión simplificada del tradicional protocolo FTP). Se instalan en el equipo, modificando una clave del registro para asegurarse su ejecución en cada reinicio del sistema, e inicializan un componente backdoor que está accesible a través de IRC, y quedan a la espera de órdenes en un determinado canal, que pueden permitir a un atacante remoto controlar el equipo. Sólo se propaga a máquinas con los sistemas operativos Windows 2000, XP, y Server 2003.

Zotob.D, además, busca en el equipo algunos de los programas más conocidos de adware, y a continuación procede a borrar los ficheros y los directorios de los mismos. El efecto más visible que provocan estos gusanos en los equipos infectados es el constante reinicio de los mismos, lo que inutiliza los equipos, por lo que sus efectos pueden ser muy dañinos, especialmente en entornos corporativos.