Windows TCP/IP Update
The system doesn't need an update.
Latest version of TCP/IP already present.
[   OK   ]

A partir de allí, el gusano es capaz de permanecer residente en memoria, como una aplicación oculta (un servicio). Veremos más adelante como hace esto (utiliza un método diferente al de la mayoría).

También copia parte de su código en el directorio C:\WINDOWS\SYSTEM, haciéndolo pasar por un driver (.VXD).

El gusano se engancha a las funciones denominadas TDI (Transport Driver Interface), que son responsables de la conexión y envío de datos. Esto hace que este virus no dependa de ningún programa de correo en especial para propagarse. También se engancha a los protocolos de transporte (similar a como lo hacen los cortafuegos para monitoreo).

A partir de allí, el gusano intercepta todos los mensajes que son enviados por el protocolo SMTP. Si un mensaje no posee adjuntos, entonces le agrega su propio código como adjunto, usando el nombre TCPIPUPD.EXE.

Para obligar que Windows ejecute el gusano en cada reinicio del sistema operativo, el virus se copia al directorio C:\WINDOWS\SYSTEM con el nombre de SYSTRAY.EXE, renombrando al verdadero como SYSTRAY.SYS, ya que este archivo realmente existe (es la Aplicación "Bandeja de sistema", donde aparece la hora, el parlante del control de volumen, etc.) y se ejecuta siempre al comienzo de Windows.

Como mientras Windows se está ejecutando, el archivo original no puede ser modificado (permanece bloqueado para escritura), el virus genera una entrada en el archivo WININIT.INI para que en un próximo reinicio de Windows, el cambio sea hecho satisfactoriamente.

De este modo, cada vez que se inicia Windows, se ejecuta el archivo SYSTRAY.EXE (el virus), el cuál luego ejecuta al verdadero SYSTRAY que ahora se llama SYSTRAY.SYS, no alterando el funcionamiento de Windows.

El gusano posee una rutina maliciosa que hace que los sábados, la ventana de cualquier aplicación activa, se deslice en forma muy lenta, hacia una dirección al azar, fuera de los límites del escritorio de Windows (puede desaparecer de nuestro monitor).

Además, a los cinco minutos de iniciarse Windows, finaliza este, sin nuestro consentimiento, provocando a veces la perdida de documentos no guardados (esto pasa durante todos los días sábado de cualquier mes).

El gusano contiene el siguiente texto:

I-Worm.Win9X.Troodon v1.0 Project
Developed by Clau.

Para limpiarlo manualmente

Como la utilidad SYSTRAY.EXE no puede ser borrada ni modificada desde Windows, usted deberá seguir estos pasos para poder recuperarla.

1. Inicie su computadora desde un disquete de inicio (Windows 95, 98 y Me), o en modo "Sólo símbolo del sistema" (pulsando F8 o CTRL al arrancar su computadora en Windows 95 y 98).

2. Teclee cuidadosamente las siguientes instrucciones, respetando los espacios donde los haya, y pulsando Enter al final de cada línea:

del c:\windows\system\systray.exe

ren c:\windows\system\systray.sys c:\windows\system\systray.exe

3. Reinicie la computadora e ingrese a Windows (si usó un disquete, retírelo de la disquetera antes de resetear su PC).

4. Vaya a Inicio, Buscar, Archivos o carpetas. Escriba en "Nombre:" lo siguiente:

TCPIPUPD.EXE

5. Si aparece, bórrelo (botón derecho, eliminar)

6. Vacíe la papelera de reciclaje (en el escritorio, clic sobre el icono "Papelera de reciclaje", Archivo, Vaciar la papelera de reciclaje).

7. Ejecute un antivirus al día y elimine los archivos que se indiquen infectados.

Fuente: Kaspersky