C:\Windows\Posta_Update.exe 
C:\Windows\Win_Update.exe 
C:\Windows\Win32_Update.exe 
C:\Windows\BiHNet.exe

También agrega la clave correspondiente al registro, para ejecutar uno de esos archivos en cada reinicio de Windows:

HKLM\software\Microsoft\Windows\CurrentVersion\Run
LastWord = [uno de los nombres del virus ya mencionados]

Luego de ello, cada vez que el virus se ejecuta, por cada contacto de la libreta de direcciones del Outlook, envía un mensaje con estas características:

Asunto: Vazna informacija!
Texto (uno de los siguientes):

1. Postovani korisnice! Ovo je novi Update koji ce zastiti Vas kompjuter od internet crva! Da bi instalirali ovaj update molim pokrenite datoteku koja Vam je dosla uz attachment pod imenom
2. Cijenjeni korisnice! Update koji Vam je dosao kao attachment sluzi kao patch da bi ste se zastitili od mnogobrojnih internet crva i virusa!
3. Instalirajte ovu datoteku koja ce rijesiti problem TypeLib kod IE_5.0! Unaprijed hvala!

El archivo adjunto en cada mensaje, es el propio virus con uno de estos nombres:

Posta_Update.exe 
Win_Update.exe 
Win32_Update.exe 
BiHNet.exe

Luego de enviar los mensajes, el gusano intenta copiarse a si mismo al directorio raíz de cada unidad de disco duro.

Cuando la computadora se reinicia por primera vez después de la infección, el gusano muestra este mensaje:

WinUpdate 2001
Some errors occured while system tries to update! Please try again!
[   Aceptar   ]

La segunda vez que la computadora infectada se reinicia, se muestra una ventana con este otro mensaje:

WinUpdate 2001
I said some errors occured while system tries to updtae! Please update as soon as possible!
[   Aceptar   ]

Si la computadora afectada por el gusano, se reinicia por tercera vez después de la primera infección, el gusano muestra el siguiente mensaje, luego de borrar el archivo C:\WINDOWS\SYSTEM.INI:

WinUpdate's Last Word!
U shOulD Do tHaT uSer, U shOuLd dO thAt UpDatE! ...this is My LastWord
[   Aceptar   ]

Cada vez que el virus es ejecutado, envía un mensaje a la dirección gargamelaf@yahoo.com.

El mensaje enviado tiene estas características:

Asunto: Raport!
Texto:
...inficirao sam jos jednog GAZDA!

Cuando la computadora se reinicia por tercera vez, entonces el mensaje es el siguiente:

Asunto: Raport!
Texto:
...jos jedan kompjuter je podlegao, ali ovaj put to je 
nesto drugo ;).

Si el gusano se ejecuta por tercera vez en una máquina infectada, Windows no funcionará correctamente, y será necesario restaurar el archivo C:\Windows\System.Ini o reinstalar Windows.

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Busque y borre el siguiente archivo:

C:\Windows\Opomena.txt

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre la siguiente clave:

LastWord

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: Symantec