اين ويروس که به زبان Visual Basic Script) VBS)نوشته شده است فايلهاي HTML را آلوده ميکند. هنگامي که فايل HTML آلوده به اين ويروس توسط نرم افزارInternet Explorer باز شود Script موجود در فايل آلوده اجرا شده و يک فايل به نام WINSTART.VBS در مسيرSYSTEM ايجاد ميکند. سپس يک کليد (Key) جديد به نام WinStart و با محتواي WINSTART.VBS در مسير زير

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

موجود در Registry ، ثبت ميکند تا هر بار که سيستم بوت ميشود فايل WINSTART.VBS  اجرا گردد .
وقتي که فايل WINSTART.VBS اجرا شود، بطور اتفاقي يکي از مسيرهاي Program Files  My Document ، Desktop ، Help و يا Temprory Internet Files را انتخاب کرده و تمامي فايلهاي با پسوند HTM يا HTML موجود بر روي مسير انتخاب شده را آلوده ميکند. سپس اگر تاريخ سيستم برابر روز اول ماه هاي ميلادي باشد، يک Message Box را که در آن متني نوشته شده است، نشان ميدهد.