Palyh доставляется на компьютер пользователей в виде файла, вложенного в письмо электронной почты или записанного в систему через локальную сеть. Червь активизируется при запуске этого файла-носителя, после чего заражает компьютер и запускает процедуру распространения.

Для рассылки по электронной почте вирус сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса. Затем «Palyh» в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.

Опасность данного вируса, в частности, заключается в том, что он использует методы «социального инжиниринга», стараясь обмануть получателей и заставить их поверить в то, что полученное ими сообщение пришло от службы технической поддержки корпорации Microsoft. Тот факт, что поле сообщения «От» содержит адрес Microsoft, привел к многочисленным случаям открытия вложенного файла и, соответственно, заражения компьютера.

В целом Palyh нельзя назвать опасным. Однако у него есть ряд особенностей, которые представляют собой потенциальную опасность для владельцев зараженных компьютеров. После заражения компьютера червь загружает четыре текстовых файла с адресом порнографического веб сайта. После этого он время от времени открывает окно браузера и пытается соединиться с этим сайтом. Таким образом, он в состоянии незаметно устанавливать свои более «свежие» версии или внедрять в систему программы-шпионы.

Автор Palyh встроил в программу временной триггер: если системная дата зараженного компьютера превосходит 31 мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает Palyh, поскольку web-серверы, откуда он скачивает свои обновления, в ближайшее время будут закрыты.