Jest to robak internetowy rozprzestrzeniający się przy użyciu programu MS Outlook. Szkodnik ma postać uruchamialnego pliku o rozmiarze około 50 kB napisanego w języku programowania Visual Basic.

Po uruchomieniu wirus wyświetla okno:

naver1.gif

Gdy użytkownik wciśnie przycisk "OK" szkodnik wyświetla informację naver2.gif

Następnie podobnie jak po wciśnięciu przycisku "Cancel" robak instaluje się w systemie. Kopiuje się do katalogu Windows z nazwą WINSYS.EXE oraz do katalogu systemowego Windows z nazwą WINSYS.EXE. Drugi plik jest umieszczany w sekcji auto-run rejestru systemowego:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun WLWin = %windir%WINSYS.EXE

Ponadto robak tworzy dodatkowy klucz służący do oznaczania zainfekowanych komputerów:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersion WLKey = 1

W katalogu systemowym Windows wirus tworzy również plik NAVER.TXT i zapisuje do niego tekst wykorzystywany w treści zainfekowanych wiadomości (patrz poniżej).

Następnie robak łączy się z książką adresową programu MS Outlook i wysyła zainfekowane wiadomości do użytkowników w niej zapisanych. Wiadomości wyglądają następująco:

Temat:

Re: Windows Upgrade

Treść:

Use this patch!!, goodbye 

From: "Micosoft upgrades" 
To: "Windows users" 
Subject: Upgrade
Date: Mon, 11 Jun 2001 11:02:34 +0200 

Microsoft programs bugs that are costantly found, are immediately often solved 
by little patches, that are regulary pubblished on the official site, but despite this only few
users use this patches. Because of this a lot of users consider Microsoft systems
unsecure, you can solve all the problems at base, upgrading costantly the system,
because of this MicrosoftŽ decided to exploit FAQ mail to reach the majority of users.
By FAQ mail you have recived it, that contain the first upgrade, naver.exe file
(Upgrade 11 Jun 2001), an upgrade that is used for increase security of Windows 
system protocol TCP/IP problems and for SSL (Secure Sockets Layer) secure system exploration.
For a correct operation copy naver.exe in c: and run it

Forward this mail at your friends with the relative attachment or if 
you don't want to receive any other upgrades send an empty mail to 
deletelist@microsoft.com with subject "Delete from database". 

We thank in advance all the users that will agree the project.

Answerable MicrosoftŽ Upgrades John Milton
http://www.microsoft.com/security/

Nazwa załączonego pliku: NAVER.EXE

W pewnych przypadkach (najprawdopodobniej w zależności od daty systemowej) robak usuwa swoje klucze rejestru oraz pliki i wyświetla wiadomość:

VIRUS !!!!!!!!!!!
Virus Eclisse has infected
Don't try to close the counter before zero otherwise it will be restarted,
the system will be released only when the countdown counts zero.

Now you are able to use your computer, this Virus automatically delete
itself, byez. ( Translation by M_O_R_B_O )