이 웜은 e-메일로 전파되며, 첨부된 ZIP 파일의 압축을 풀고 생성된 파일을 실행하면 감염된다. 발신자 주소는 [email protected], [email protected], [email protected] 중 하나며, 수신자 주소는 먼저 웜에 감염된 PC에 저장된 주소록에서 임의로 선택된다. 때문에 아는 사람으로부터 온 e-메일이 대부분이다. 제목은 ‘Mcdonalds wishes you Merry Christmas!’, ‘Coca Cola is proud to accounce our new Christmas Promotion.’, ‘You've received A Hallmark E-Card!’ 중 하나며, 첨부 파일명은 coupon.zip, promotion.zip, postcard.zip 중 하나이다. 첨부 파일의 압축을 풀면 postcard.exe, coupon.exe, promotion.exe 등 7개 중 한 개의 파일이 만들어지고, 눈사람 모양의 아이콘이 생긴다.
이 EXE 파일을 실행하면 윈도 시스템 폴더(C:WINDOWSsystem32)에 vxworks.exe로 복사본을 만들고, 다른 변형인 qnx.exe(Win32/Ceein.worm.157184) 파일을 생성한다. 그리고 콜라 값을 할인해준다는 내용의 팝업 창을 띄워 이용자가 정상 파일로 착각하게 만든다.