Alias: Plage 2000, P2000, I-Worm.Plage. Worm.P2000
Tamaño: 102400

Es un ejecutable PE con 102400 bytes de longitud. No está encriptado pero pueden aparecer versiones nuevas del virus encriptadas que hagan aún más difícil su detección. El virus tiene el icono de WinZip y se hace pasar por un archivo .ZIP autoextraíble.

Plage2000 llega como un archivo adjunto a un email y se instala a sí mismo en el sistema como INETD.EXE en la carpeta de Windows. A continuación, modifica WIN.INI y el registro para ejecutarse en todas las sesiones de Windows. Una vez que está activo en memoria, el virus se comunica con los navegadores compatibles con MAPI, busca mensajes que no han sido contestados y él mismo se encarga de responderlos. El mensaje respuesta del virus parece un mensaje de auto-respuesta que mucha gente utiliza mientras que no pueden abrir sus buzones:

P2000 Mail auto-reply:

I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion!

>Get your FREE P2000 Mail now!<

El código del virus siempre va adjunto al mensaje. El nombre del archivo adjunto se selecciona aleatoriamente entre las siguientes variantes:

Cuando el receptor del mensaje hace click sobre el archivo adjunto, el virus también infecta su sistema. El virus primero muestra una ventana de diálogo como la de los archivos autoextraíbles WinZip. Si el usuario hace click en el botón Unzip o en Run WinZip, el virus muestra el siguiente mensaje y se instala:

"ZIP damaged: file C:\3\WORM.EXE: Bad CRC number. Possible cause: file transfer error"

Si el usuario hace click en el botón Close, el virus simplemente se instala pero no muestra ningún mensaje.

Una vez que está activo, el virus estará chequeando la hora y el día. Los miércoles, justo después de medianoche, muestra un diálogo con una imagen de Hitler con la frase "Follow your leader" y el texto:

"Fight against the plage of inhumanity.
This is Plage 2000 coded by Bumblebee/29a"

No es un virus muy destructivo pero se puede extender muy rápidamente.