Червь использует для распространения электронную почту, причем зараженные письма могут иметь различные темы и названия вложенных файлов. Для заражения Winevar использует две давно известные дыры в браузере Internet Explorer: Microsoft VM ActiveX Component и IFRAME. В результате заражение становится возможным во время чтения письма, без запуска файлов с червем самим пользователем.
После внедрения в систему червь модифицирует реестр и загрузочные файлы Windows и при следующих загрузках компьютера автоматически активизируется. Для дальнейшего распространения Winevar сканирует все доступные ему файлы формата .HTM и .DBX, извлекая из них адреса электронной почты. На эти адреса червь отсылает свои копии, используя для этого прямое подключение к SMTP-серверу.
Winevar несет в себе три основные функции: удаление с компьютера всех антивирусов, программ-отладчиков и брандмауэров, заражает компьютер вирусом Win32.Funlove и реализует DoS-атаку на сайт компании Symantec. В некоторых случаях деятельность червя может привести к потере всей информации на жестком диске.