Bei Ausführung extrahiert der erste Teil des Virencodes das eigentliche Programm und den angehängten Schädling in den aktuellen Ordner, wo dann beide ausgeführt werden. Außerdem übernimmt dieser Teil die Phone-Home-Funktion und versucht, aus dem Internet weiteren Schadcode zu laden.
Der hintere Teil des Schadcodes durchsucht lokale Festplatte und Netzlaufwerke nach ausführbaren Dateien, um auch diese zu infizieren.
Dem Anwender fällt eine Infektion oft nicht auf, weil das infizierte Programm sich äußerlich normal verhält. Lediglich etwaige Kommandozeilenparameter gibt Kies-A nicht weiter, wodurch einige Programme in ihrer Funktionsfähigkeit eingeschränkt werden.
