Het virus, gesignaleerd onder de namen Shoho en Welyah, maakt geen gebruik van gaten in Outlook om zichzelf te verspreiden. Andere virussen doen dat vaak wel. Shoho gebruikt zijn eigen e-mailengine. Volgens anti-virusdeskundigen van zowel Network Associates als Tend Micro probeert het virus na infectie bestanden van de computer van het slachtoffer te verwijderen. Het virus maakt van hetzelfde veiligheidslek in Internet Explorer gebruik als het Badtrans-virus dat de laatste maanden over het internet rondwaart. Dit lek stelt de worm in staat zichzelf te activeren als een geïnfecteerd mailtje is geopend of zelfs maar ingezien. Dit betekent dat een ontvanger niet hoeft te dubbelklikken op het attachment om het virus te activeren. Ook gebruikers die een andere e-mailclient dan Outlook gebruiken, lopen de kans geïnfecteerd te raken met het virus. Shoho is in de inbox te herkennen aan de onderwerpsregel "Welcome to Yahoo! Mail". De tekst in het mailtje zelf is gelijk aan het onderwerp. Daarnaast is het voorzien van een attachment met de naam readme.txt. In feite is dit bestand een .pif-bestand maar er zitten 125 spaties tussen txt en de extensie .pif. Op die manier probeert de maker de ware aard van het virus te verhullen. Als de e-mail geopend of zelfs alleen maar ingezien wordt via de preview-functie verspreidt het virus zich naar alle adressen in het adresboek van het e-mailprogramma. Om zichzelf door te sturen gebruikt het zijn eigen SMTP-engine. Volgens Network Associates scant het virus tevens de harde schijf af op zoek naar extra e-mailadressen. Als het virus geactiveerd is, probeert het bestanden van de computer te verwijderen. Zonder deze bestanden is het mogelijk dat de computer niet meer wil opstarten. De worm infecteert alleen computers waarop Windows draait. Beide anti-virusbedrijven zien het virus voorlopig niet als een groot risico, maar aangezien het bestanden van de computer verwijdert, is het volgens hen toch belangrijk genoeg om aandacht aan te besteden.