Jest to pierwszy znany program infekujący pliki Windows32 HLP. Funkcjonuje i mnoży się jako skrypt pomocy systemu Windows, zakorzeniony w strukturze pliku pomocy.

Podczas otwierania zainfekowanego pliku HLP, system pomocy systemu Windows przetwarza skrypt wirusa i uruchamia wszystkie zawarte w nim funkcje. Używając triku wirus zmusza system pomocy do uruchomienia specjalnie przygotowanych danych jako binarnego programu Windows32. Dane te są zawarte w jednej z instrukcji w skrypcie wirusa i są polimorficzną funkcją startową, która tworzy główną funkcję infekującą i uruchamia ją. Funkcja infekująca jest zwykłą procedurą Windows32 i jest uruchamiana jako aplikacja Windows32.

Po uruchomieniu funkcja infekująca przejmuje kontrolę, skanuje jądro Windows (KERNEL32.DLL załadowany do pamięci Windows) i pobiera z niego adresy potrzebnych procedur. Następnie funkcja infekująca wyszukuje wszystkie pliki pomocy w folderze bieżącym i zaraża je.

Podczas infekowania wirus modyfikuje wewnętrzną strukturę pliku HLP, dodaje swój skrypt do obszaru "SYSTEM", konwertuje swój kod do polimorficznej funkcji startowej i umieszcza ją w skrypcie.

Przed uruchomieniem swojej funkcji infekującej oraz po zakończeniu infekcji wirus wyświetla informacje:

HLP.Demo
Trying to infect 

HLP.Demo
Script comes to end!