Rootkittel tér vissza a Mydoom féregvírus
A Gurong.a levél útján, illetva a Kazaa P2P-hálózatán keresztül terjed. A levelek feltűnő címzést, például "Greetings!", "Hello friend ;)", "Hey dear!" illetve "Re: Hello" alkalmaznak. A levélhez csatolt fájl neve többek közt "body.bat", "document.pif" és "sex_pics.scr" lehet.
A Kazaa-n való terjedéshez a Gurong.a a "0day_patch.exe", "skype_video.scr" és "xp_activation.pif" neveket használja. Ha a felhasználó óvatlansága miatt lefur a vírus kódja, elsőként wmedia16.exe néven a Windows könyvtárba másolja magát. Majd a registrybe írva gondoskodik róla, hogy minden induláskor lefusson.
A Gurong.a által használt rootkit-eljárás úgynevezett "Call gate-n" alapul, vagyis a bejelentkezett felhasználónak kijelölt területről parancsokat küldhessen a rendszer kernelének. Ezáltal a Gurong.a fájlokat, folyamatokat és registry bejegyzéseket rejthet el anélkül, hogy szüksége volna telepíteni a más rootkitek átal használt speciális csatolófájlt.