De origem desconhecida, o Wanor se envia a todo o catálogo de endereços do Windows (WAB) via MAPI (Messaging Application Programming Interface, uma biblioteca de funções que permite enviar e-mails usando o subsistema de correio do Windows). As mensagens podem ter diferentes assuntos e textos, mas seguem o esquema abaixo:
Assunto: SAY NOT WAR Mobilizations against the War very good! di NO a LA GUERRA See content moooola, maaaazo See content!
Corpo da Mensagem: que caña tio NOT WAR!! que guay macho!! SAY NOT WAR, NOT WAR, NOT WAR WAR ([Yes] | [Not]) WAR ([Yes?] | [Not?]), see file
As mensagens trazem como anexo os arquivos Winscr.scr ou Winscr.exe, que carregam o vÃrus. No corpo das mensagens são inseridos ainda os endereços https://www.punchdown.org/rvb/F15/ (fotos de protestos contra a guerra no mundo) e https://www.sundayherald.com/28224/, uma reportagem do jornal The Sunday Herald, sobre documentos mostrando o interesse dos EUA no petróleo do Iraque cinco meses antes dos atentados terroristas de 2001.
Corpo da Mensagem: You show us every day the danger that you represent for the world. Leave us in peace. (Você nos mostra diariamente o perigo que representa para o mundo. Deixe-nos em paz.)
Quanto executado, o Wanor se copia para o diretório de instalação do Windows como Winscr.scr e para o subdiretório \INF do Windows, como Winm.exe. Algumas chaves de registro são criadas para que seus códigos sejam carregados na inicialização do sistema. Nos programas P2P, o vÃrus tenta fazer cópias de si mesmo nas pastas compartilhadas pelos usuários, possibilitando assim a sua propagação.