BLA.HTA 
B.HTM 
T.TXT

También genera los siguientes archivos en otras ubicaciones:

C:\Windows\HELP\MMSN_OFFLINE.HTM 
C:\Windows\SAMPLES\WSH\CHARTS.JS
C:\Windows\SAMPLES\WSH\CHARTS.VBS

Si existe el programa mIRC en la máquina infectada, el gusano genera un archivo SCRIPT.INI y suplanta con él todos los SCRIPT.INI en la carpeta del mIRC, y en otras carpetas del sistema.

Este archivo permite el envío de una copia del gusano (C:\Windows\Help\MMSN_OFFLINE.HTM) a todos los usuarios que participen del mismo canal de IRC al que se conecte la máquina infectada.

El gusano es capaz de autoenviarse a todos los contactos del Outlook y de la libreta de direcciones de Windows (WAB, Windows Address Book), a través del Outlook y Outlook Express, vía e-mail, utilizando rutinas MAPI (Messaging Application Programming Interface). El mensaje enviado posee estas características:

Asunto: Outlook Express Update
Texto: MSNSofware Co.
Adjunto: mmsn_offline.htm

El virus también modifica el archivo AUTOEXEC.BAT (Windows 9x), agregándole los comandos que permiten formatear el disco duro en el próximo reinicio de Windows:

E c h o  y  |  f o r m a t  c:

Esta modificación podría no afectar las versiones en español de Windows, o al menos dar un error.

El gusano crea las siguientes claves en el registro:

HKCU\Software\Microsoft\Windows Scripting Host\Settings\Timeout
HKCU\Software\TheGrave\badUsers\v2.0

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NAV DefAlert = C:\WINDOWS\help\mmsn_offline.htm

Esta última clave permitirá la ejecución del gusano en el próximo reinicio de Windows.

Luego, si la computadora está conectada a una red, el gusano busca unidades compartidas y se copia a si mismo en todas las unidades mapeadas, en esta ubicación:

[disco:]\Windows\Start Menu\Programs\StartUp\Msoe.hta

Esto ejecuta el gusano (MSOE.HTA) en cada reinicio de las otras máquinas de la red.

Finalmente, el virus intenta borrar todos los archivos de la unidad de disco local. Todos los archivos .ASP, .HTM, y .HTML son sobrescritos por el código del propio virus, y todos los demás son borrados dejando archivos con el mismo nombre pero de longitud cero, lo que imposibilita su recuperación, salvo desde un respaldo o reinstalando.

Si el virus reinicia la computadora después de una infección, es probable se ejecute la modificación hecha al archivo AUTOEXEC.BAT (solo Windows 95/98) lo que formateará su disco, debiéndose reinstalar todo el software nuevamente (esto produce un error en la versión en español de Windows).

Para quitar manualmente el virus de un sistema infectado:

Para sacar el virus de un sistema infectado, NO REINICIE su computadora hasta cumplir los siguientes pasos:

1. Ejecute un antivirus al día y borre todos los archivos que aparezcan como infectados por el JS/Gigger.

2. En Windows 95 y 98, desde Inicio, Ejecutar, teclee: SYSEDIT y pulse Enter.

3. Seleccione la ventana C:\AUTOEXEC.BAT y borre las líneas que haga referencia a estas instrucciones:

E c h o  y  |  f o r m a t  c:

4. Cierre la ventana del Editor de configuración del sistema, indicando que SI desea guardar los cambios realizados.

5. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run 

7. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

NAV DefAlert         "C:\WINDOWS\help\mmsn_offline.htm"

8. Pinche sobre "NAV DefAlert" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

9. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows Scripting Host
Settings
Timeout

10. Pinche sobre "Timeout" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

11. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
TheGrave

12. Pinche sobre "TheGrave" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

13. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

14. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Glosario:

MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.

IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

DCC (Direct Client to Client) - Los archivos enviados entre usuarios participantes de un canal de chat (IRC) se transmiten por medio de una sesión denominada DCC (Direct Client to Client), que permite la transferencia directa de los mismos.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com