De esta forma, podemos decir que Girigat puede actuar tanto como un virus residente en memoria por proceso, como mediante rutinas de infección de acción directa que afectan o bien al directorio por defecto de Windows, o bien al actual, o bien a ambos. De forma paralela es importante apuntar que también puede combinar de manera simultánea su rutina de residencia por proceso con la de infección por acción directa, cualquier tipo de combinación es posible.

Los objetivos del virus son los ficheros CPL (Control Panels, paneles de control de Windows), EXE de formato PE (Portable Executable, el característico de Win32) y SCR (Screensavers, salvapantallas), lo cual no implica que necesariamente todas las generaciones del virus vayan a infectar estos tres tipos de ejecutables. Tal y como ocurre con la residencia en memoria, aquí nos encontramos con la posibilidad de que el virus en algunas de sus generaciones infecte sólo uno de los tres formatos, dos, o los tres. Desafortunadamente su autor no incurrió en el despiste de permitir que se pudiesen dar también generaciones del virus que no infectasen ninguno de los tres tipos de ejecutable.

El método de infección empleado por Girigat es el que se está convirtiendo en el más extendido entre los virus de nueva generación de Win32: el incremento del tamaño de la última sección del ejecutable y la consiguiente anexión del código vírico al final de dicha sección.

Girigat posee cuatro tipos de activación o payloads distintos, que entran en acción con una probabilidad del 50% cuando una aplicación infectada es ejecutada tres meses después de su fecha original de infección. Mediante el primero de los payloads, Girigat cambia el diseño de nuestro escritorio a su gusto: fondo negro y, en el centro, un BMP con el logotipo del virus. El segundo payload del virus hace que el cursor de Windows cambie de posición en la pantalla de manera completamente aleatoria en intervalos de tiempo realmente pequeños, haciendo prácticamente imposible llevar a cabo cualquier tipo de acción que implique la ayuda del cursor. La tercera de las cuatro activaciones de Girigat se limita a mostrar por pantalla un cuadro de mensaje con un icono de alerta al lado de los créditos de su autor, y por último, el cuarto payload hace que la bandeja de la unidad de CD-ROM se abra y se cierre sin parar. Este simple y aparentemente inocente efecto es capaz, no obstante, de causar daños en el equipo a nivel hardware, en caso de que el payload se active en la ausencia del usuario y su duración se prolongue durante unas horas. Afortunadamente, el virus se limita a escoger una de estas cuatro activaciones -de forma aleatoria-, en lugar de atacar con las cuatro al mismo tiempo.

Estamos, por tanto, ante uno de los especímenes más versátiles de la llamada "nueva escuela" (Win32), capaz de alterar su funcionamiento tanto en la vía de infección (residencia/acción directa) como en la de búsqueda de víctimas (directorio actual/Windows), en los tipos de ficheros afectados (CPL/EXE/SCR), como, por último, en su forma de manifestación, a través de cuatro tipos de activaciones distintas.