A Winevar féreg Windows-t futtató rendszereket támad (Windows 95 és újabb verziók), s beépített levelezőmotorját használva e-mailben továbbítja magát más gépekre. A saját maga terjesztéséhez szükséges mailcímeket a fertőzött gépen lévő HTML állományokból szerzi. A féreg általában egy "Trand Microsoft Inc." tárgyú e-mail üzenetben érkezik, amely három darab csatolt fájlt tartalmaz, melyek kiterjesztése .htm, .ceo és . pif. Ha a férget lefuttatják, megkísérli deaktivizálni az esetlegesen a gépen futó tűzfal, vagy vírusirtó alkalmazásokat, a PC újraindítását követően pedig egy egysoros üzenettel felhívja az áldozat figyelmét arra, hogy nem a legszerencsésebb dolog volt a fájl megnyitása. Ha a felhasználó az üzenet mellett lévő "OK" feliratú gombot lenyomja, a féreg a merevlemezen lévő összes állományt és könyvtárat törli.
A számítógépes biztonsági szoftvereket fejlesztő Symantec honlapján lévő információk szerint a féreg egy, az Internet Explorerben lévő biztonsági hibát kihasználva az Outlook levelezőben a levél megnyitása nélkül, már gyorsnézet-módban aktivizálná magát, de a féreg eme funkciója egy programhiba miatt nem működik. A vírusirtó szoftvereket fejlesztő cégek azt ajánlják a felhasználóknak, hogy ne futtassák le az e-mailben érkező .ceo vagy .pif fájlokat, illetve frissítsék víruskeresőik adatbázisát.