WinHLP.Pluma
Gdy otwierany jest zara偶ony plik HLP proces systemowy Windows Help uruchamia wszystkie zawarte w nim funkcje. Przy u偶yciu specyficznego triku wirus zmusza system do wykonywania oryginalnego programu binarnego Windows32. Trik ten jest jedn膮 z instrukcji zawartych w skrypcie wirusa. Powoduje on zbudowanie specjalnego mechanizmu zara偶ania i uruchomienie go. Mechanizm ten jest procedur膮 wykonywan膮 jako aplikacja Windows32.
Gdy mechanizm zara偶ania przejmuje kontrol臋 wirus skanuje j膮dro systemu Windows (KERNEL32.DLL obraz 艂adowany jest do pami臋ci Windows) i pobiera stamt膮d wszystkie niezb臋dne funkcje Windows. W nast臋pnej kolejno艣ci przeszukuje bie偶膮cy katalog i gdy odnajdzie plik pomocy systemu windows - infekuje go.
Podczas zara偶ania szkodnik modyfikuje struktur臋 pliku HLP dodaj膮c sw贸j skrypt do obszaru "SYSTEM".
Wirus nie ujawnia swojej obecno艣ci. Zawiera tekst:
[ AYUDA! Coded by Bumblebee/29a ] Cumpliendo con mi oficio piedra con piedra, pluma a pluma, pasa el invierno y deja sitios abandonados habitaciones muertas: yo trabajo y trabajo, debo substituir tantos olvidos, llenar de pan las tinieblas, fundar otra vez la esperanza.