é o nome do destinatário da mensagem. Se for executado, faz uma cópia de si mesmo para o diretório Windows com o nome MMOPLIB.EXE e cria uma chave no registro, de modo a ser executado toda vez que a máquina é reiniciada. Em seguida, a praga cria ou substitui o arquivo "Hosts", que serve para relacionar os enderços IP aos nomes das máquinas ou domínios na Internet.Tal arquivo é usado por vários programas que fazem uso da rede, incluindo o Outlook e o Outlook Express. Se o arquivo estiver presente na máquina, o programa utiliza as informações gravadas para resolver rapidamente o endereço IP de servidores e fazer a conexão apropriada. O Windows vem com um arquivo de nome Hosts.sam, que serve para exemplificar seu uso.
O vírus cria um outro arquivo "Hosts" (sem extensão) ou substitui o original, assumindo o lugar deste. O arquivo criado relaciona o servidor SMTP (para envio de mensagens) à máquina local (127.0.0.1). O Tariprox permanece ativo em segundo plano, esperando que seja feita uma conexão na porta 25, que é a porta padrão para servidores SMTP.
Quando o usuário tenta enviar um e-mail, o programa (por exemplo, o Outlook Express) utiliza as informações guardadas no novo arquivo "Hosts" e faz a conexão pelo endereço 127.0.0.1, no lugar da porta 25, conectando-se assim ao vírus. Então, a praga estabelece uma conexão com o verdadeiro servidor SMTP e age como um intermediário, isto é, um proxy, anexando seus próprios dados à mensagem no momento em que esta é enviada.
Tal método tem muito mais chances de enganar o destinatário do e-mail, que recebe uma mensagem legítima (quem sabe uma mensagem que estava sendo aguardada?), porém infectada com um arquivo que possui o seu nome.
O vírus também evita enviar repetidos e-mails para a mesma pessoa. Para isso, mantém uma lista dos últimos cinco destinatários e não anexa seu código a estes usuários.
Em algumas redes, a mesma máquina funciona como servidor de mensagens recebidas e enviadas. Neste caso, quando o programa de e-mail tenta se conectar ao servidor para baixar as mensagens, o Tariprox aceita a conexão mas não envia uma resposta, evitando que o usuário receba novas mensagens.
Outros programas que utilizam o arquivo "Hosts" para resolver endereços IP (por exemplo, Telnet) também não conseguem estabelecer uma conexão com o servidor SMTP, porque o vírus irá tentar se conectar ao endereço 127.0.0.1.
O W32/Tariprox-B é um executável Windows PE (Portable Executable) e possui 40.960 bytes de tamanho. Também existem versões compactadas com o utilitário UPX, as quais possuem um tamanho aproximado de 21Kb. O vírus foi projetado para funcionar primordialmente com o Outlook Express e pode não funcionar com outros programas de e-mail. No código do vírus há o seguinte texto: "W32.Taricone-B.worm@proxy by I.V.E.L."