Los virus POLIMÓRFICOS cambian su código en forma aleatoria con la idea de confundir a los antivirus.

Cuando se ejecuta inyecta su código en todos los procesos activos, salvo en aquellos cuyo nombre contenga algunas de las siguientes cadenas:

  csrss
  ctfmon
  drwatson
  drwtsn32
  dumprep
  dwwin
  kernel32.dll
  savedump
  smss
  spoolsv
  temp
 
Queda residente en memoria por cada aplicación activa, y cada copia del mismo es responsable de diferentes acciones.
 
Para infectar los archivos, intercepta todas las llamadas al sistema relacionadas con la apertura y cierre de archivos, creación y cierre de procesos, creación de archivos, llamada a bibliotecas, búsqueda de archivos, etc.
 
La infección puede corromper los archivos originales, comprometiendo la estabilidad del sistema.
 
El virus no infecta aquellos archivos cuyos nombres contengan algunas de las siguientes cadenas:
 
  a2
  adaptec
  adinf
  agnitum
  ahead
  aladdin
  alarm
  alwil
  alwil
  anti
  armor
  aspack
  assemble
  astonsoft
  avast
  avg
  avp
  avwin
  avx
  aware
  backdoor
  barracuda
  blackice
  blindwrite
  burn
  cillin
  clean
  clonecd
  common
  copystar
  dbg
  debug
  defender
  dfrgntfs
  disasm
  doctor
  drweb
  dss
  eeye
  elaborate
  eliashim
  esafe
  eset
  etrust
  f-
  firewall
  forti
  fpr
  f-prot
  frisk
  fsav
  gear software
  gladiator
  grisoft
  guard
  hack
  heal
  hijack
  hunter
  ibm
  ida
  imapi
  infosystems
  inoc
  inoculate
  intermute
  iss
  kasp
  kaspersky
  kerio
  lavasoft
  mc
  mcafee
  mirc
  mon
  nav
  neolite
  nero
  newtech
  nod
  nod32
  norman
  norton
  numega
  nvc
  olly
  ort expl
  ositis
  outpost
  pack
  panda
  pav
  pebundle
  pecompact
  personal
  pklite
  pkware
  principal
  process
  protect
  proxy
  qualys
  rav
  rescue
  retina
  root
  route
  roxio
  safe"n"sec
  sateira
  scan
  scn
  secure
  security
  setup
  shield
  slysoft
  softice
  softwin
  sonique
  sophos
  spf
  spider
  spy
  spy
  spyware
  sqstart
  starforce
  steganos
  swift sound
  sygate
  symantec
  tb
  tds3
  temp
  tenable
  tiny
  tmp
  trend micro
  trojan
  upx
  viri
  virus
  vsaf
  vswp
  watch
  webroot
  zone labs
 
Se propaga por la red P2P de intercambio de archivos entre usuarios Gnutella, también se han reportado infecciones en usuarios de otras redes (eMule, eDonkey2000, etc.). Esto ocurre aún cuando el usuario infectado no tenga ninguno de esos programas instalados. Como parte de ese proceso, infecta archivos .EXE y .SCR en las carpetas compartidas por estas aplicaciones.
 
Intenta borrar los siguientes archivos:

  aguard.dat
  antivir.dat
  avg.avi
  avgqt.dat
  avp.crc
  chklist.cps
  chklist.ms
  drwebase.vdb
  ivb.ntz
  ivp.ntz
  lguard.vps
  smartchk.cps
  smartchk.ms
  vs.vsn
 
El código de los archivos infectados, contiene el siguiente texto:
 
  Win32.Polipos v1.2 by Joseph

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

NOTA: Debido a la acción destructiva del virus, los archivos infectados deberán ser borrados, y luego reemplazados desde un respaldo anterior limpio, o por medio de la reinstalación de los programas afectados.

4. Reinicie el equipo.