Una vez que el gusano logra acceder al sistema vulnerable descarga archivos extra desde una máquina ya infectada y los crea en la biblioteca principal del disco duro. Estos incluyen versiones modificadas de auténticos nombres de ficheros con Windows, como NT/2000, SVCHOST.EXE, HTTPEXT.DLL y D.VBS.
De acuerdo con la firma antivirus Kaspersky, SVCHOST.exe garantiza que el virus se active cada vez que el ordenador se arranca, mientras que el D.vbs realmente comprueba y remueve copias activas del gusano Code Blue. Éste también comprueba el sistema contra ataque de Code Red con la terminación de la aplicación INETINFO.exe, del que Code Red saca provecho.
Code Blue entonces creará 100 series que exploran de forma aleatoria direcciones IP para atacar de nuevo máquinas vulnerables.
Esta actividad conduce a la especulación de que el incremento en la demanda de recursos del sistema podría causar que los servidores se ralenticen o caigan.