Alih-alih, Kamluk menyadari itu adalah kode yang menyebar sendiri dengan tujuan yang sangat berbeda. Menggunakan apa yang di dalam kode disebut sebagai fungsionalitas “wormlet”, Fast16 dirancang untuk menyalin dirinya sendiri ke komputer lain di jaringan melalui fitur berbagi jaringan (network share) Windows. Kode ini memeriksa daftar aplikasi keamanan, dan jika tidak ada yang terdeteksi, ia menginstal driver kernel Fast16.sys di mesin target.
Driver kernel tersebut kemudian membaca kode aplikasi saat dimuat ke memori komputer, memonitor untuk sejumlah pola spesifik—”aturan” yang memungkinkannya mengidentifikasi saat aplikasi target sedang berjalan. Ketika mendeteksi perangkat lunak sasaran, ia menjalankan tujuan utamanya: secara diam-diam mengubah kalkulasi yang dijalankan perangkat lunak tersebut untuk merusak hasilnya tanpa terdeteksi.
“Ini sebenarnya memiliki muatan yang sangat signifikan di dalamnya, dan hampir semua orang yang melihatnya sebelumnya melewatkannya,” kata Costin Raiu, seorang peneliti di konsultan keamanan TLP:Black yang sebelumnya memimpin tim yang mencakup Kamluk dan Guerrero-Saade di perusahaan keamanan Rusia Kaspersky, yang melakukan pekerjaan awal menganalisis Stuxnet dan malware terkait. “Ini dirancang sebagai sabotase jangka panjang yang sangat halus, yang kemungkinan besar akan sangat, sangat sulit untuk diketahui.”
Mencari perangkat lunak yang memenuhi ‘aturan’ Fast16 untuk target sabotase yang dimaksud, Kamluk dan Guerrero-Saade menemukan tiga kandidat mereka: perangkat lunak MOHID, PKPM, dan LS-DYNA. Adapun fitur ‘wormlet’, mereka percaya mekanisme penyebaran dirancang sehingga ketika korban melakukan pengecekan ulang hasil perhitungan atau simulasi mereka dengan komputer berbeda di laboratorium yang sama