اين ويروس که به زبان Visual Basic Script) VBS)نوشته شده است فايلهاي HTML و VBS را آلوده ميکند. هنگامي که فايل HTML آلوده به اين ويروس توسط نرم افزار Internet Explorer باز شود و يا اينکه فايل VBS آلوده اجرا گردد Script موجود در فايل آلوده اجرا شده و يک فايل به نام WINSTART.VBS در مسير SYSTEM ايجاد ميکند. سپس يک کليد (Key) جديد به نام WinStart و با محتواي WINSTART.VBS در مسير زير

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run

موجود در Registry  ثبت ميکند تا هر بار که سيستم بوت ميشود فايل WINSTART.VBS  اجرا گردد.

وقتي که فايل WINSTART.VBS اجرا شود، اگر تاريخ سيستم برابر روز اول ماه هاي ميلادي باشد، فقط يک Message Box را که در آن متني نوشته شده است، نشان ميدهد. اما اگر روز اول ماه نباشد، ويروس بطور اتفاقي يکي از مسيرهاي Samples ، My Document ، Desktop ، Help ، All Users Desktop ، Temprory Internet Files ،Program Files و يا Temp را انتخاب کرده و تمامي فايلهاي با پسوند HTML ، HTM و VBSموجود بر روي مسير انتخاب شده را آلوده ميکند.