LOVE
[OK]

PEACE
[OK]

HOME
[OK]

HAPPINESS
[OK]

These things Can't be Found as long
as Bush & Jews Are aLive :)
[OK]

Made By ZaCker In 2003-03-30 :)
[OK]

A medida que el usuario las cierra o pulsa en el botón [OK], se van eliminando los archivos del disco C y finalmente reinicia la computadora.

El gusano utiliza su propio motor SMTP para enviarse como correo electrónico infectado, con varios asuntos y textos. En las primeras muestras, todos los mensajes tenían el mismo remitente (Dispatch@McAfee.com), pero esta dirección falsa, también puede ser tomada al azar, de algunos archivos y entradas del registro de la máquina infectada.

Asunto: '''*< Love Speaks it all >*'''

Texto:
Hii
Try this great program allowing u to translate 100
languages .just write a passage in english and chose a 
language to get the traslation one of my friends used it 
with his arabian gf and it worked successfully ;)
so , Now we can say ' Love Speaks it All ' :)


Asunto: Co0o0o0o0oL

Texto:
i thing the subject is enough to describe the attached
file ! check it out and replay your opinion
Cya


Asunto: Fw:

Texto:
You're gonna love it ;)
delete it after reading , Professor :P


Asunto: Heeeeeeeeeeeeeeeey

Texto:
i've got this surprise from a friend :)
it really deserves a few minutes of your time.
Bye


Asunto: Wussaaaaaaaap?

Texto:
Should i email u first to email me?
u don't know how much ur emails mean to me.
i wish u like this email and plzz don't forget me :)


Asunto: WoW But not for NoW

Texto:
coz i couldn't get the other part of it ,
any way , check it out
having alil thing is better than nothing :P


Asunto: y0 Ain't Got Shyt !

Texto:
All u can get is burning ur self
Coz all we can do is to watch, nothing for us to touch :(


Asunto: Why Do We FOk?

Texto:
let me answer ,,,
hummmmmmmmm
Coz we Burn Our selves by watching ********** like the
one i attached :P


Asunto: Heeelllooo , anybody home????

Texto:
i tried many times to send u this email but ur account was
out of storage as i think any way , make sure that i didn't
and i won't forget u :)
Cya Forgotten :P


Asunto: Why did u send me this shyt?

Texto:
THANX BUT I DON'T ACCEPT SEX MATERIALS FROM
STRANGERS. I SAW THEM N I WONDERED HOW U COULD
DO SO ?
I REATTACHED THE SHYT U SENT
PLEASE DON'T EMAIL ME ,


Asunto: Re:Hi

Texto:
No thanx , keep it for you :)


Asunto: Lo0o0o0o0o0o0o0o0o0o0o0o0oL

Texto:
Measure your intelligence , the power of your mind and the
speed of your reaction by answering several Qs , don't
forget to send me your mark.
I took 3.5/10 :P
Let's see who is more intelligent than the other!
Good Luck


Asunto: hurry up !!!

Texto:
this is the last one i could find ,
Don't forget , send me the project in a zipped file :)
Bye


Asunto: To Early To Have Sex!

Texto:
When i saw it i didn't believe that she was only 8 yrs old.
but when i saw the blood and heard the voice of her :( i 
got Shocked


Asunto: Fw:Send it to all of the ppl u love

Texto:
Don't Believe ur self, I don't Love Ya :P
But i Don't know why i sent this to u.
Make use of it , Bye ;)


Asunto: Surpise !

Texto:
I'm in a harry ,
Send me any clip with voice like the one i attached .
And stop sending the booooring pictures
For your elegant Taste
elegant ppl should satisfy thier taste with elegant
things ;)


Asunto: Again?

Texto:
I sent this email to another body :P and he replayed saying
Thanx !! i always write your email wrongly.
Hummm, if u like it replay to me , and don't forget to 
write ur signature to make sure that i didn't send the 
email to a wrong one ;)


Asunto: Who are you??????

Texto:
i'm fine , thanx for asking :)
and thanx for the nice attachements.
but unfortunately, i don't remember you
i will be waiting for u emaill to remind me of your self.


Asunto: Hummm , i hope u accept this show as an apology.

Texto:
The Spanish Beauty
it's a mix of the Arabian beauty & the european grace !
satisfy your eyes with the beauty that u have never seen ;)


Asunto: I've Got it :)

Texto:
I've got it from KaZaA network ,
it seems not to be full but that's all i could find :(


Asunto: Helloooooooo

Texto:
I've got your email , but you forgot to upload the
attachments. Don't be selfish , i sent you all the files i
have, send me anything :(


Asunto: If u are booooored ...

Texto:
i found it in my Recycled , i know u love this kind of 
thing ;) attachment :) bye


Asunto: Dispatch@McAfee.com

Texto:
Virus Alert !
Dear User,
McAfee.com Has recieved an infected message from you
.We believe that you are infected with Win32/HaWawi@MM
Virus.
Please download the attached tool (ToolAv01w32) which
will help you to clean your PC.
For more information :
*Create an email addressed to virus_research@nai.com.
Your name, phone number, address, and email address
Operating system:
Antivirus program:
Anti virus engine version (e.g. 4.1.20)
DAT file version (e.g. 4.0.4140)
Browser version
Nature of problem

Uno de los siguientes archivos adjuntos (el mismo archivo con distintos nombres):

Aint_it_Funny.pif
AniMaL_N_Burning_Ladies.pif
Beauty_VS_Your_FaCe.pif
Broke_ass.pif
Come_2_Cum.pif
Endless_life.pif
Famous_PpL_N_Bad_Setuations.pif
Gurls_Secrets.pif
HAwa.pif
HaWawi_N_Hawaii.pif
Hearts_translator.pif
Hot_Show.pif
How_to_improve_ur_love.pif
Leaders_Scandals.pif
Lo0o0o0o0oL.pif
Real_Magic.pif
Shakiraz_Big_ass.pif
Short_vClip.pif
Sweet_but_smilly.pif
Tears_of_Happiness.pif
Tedious_SeX.pif
Teenz_Raper.pif
The_Truth_of_Love.pif
ToolAv01w32.pif
unfaithful_Gurls.pif
White_AmeRica.pif
XxX_Mpegs_Downloader.pif

Para propagarse a través de las redes de intercambio de archivos, el gusano crea copias de si mismo con los nombres vistos antes (ver lista de archivos adjuntos), en las carpetas compartidas correspondientes. En ocasiones, también parece buscar al azar (entre el 20 y el 25 de cada mes), archivos con las extensiones .JPG, .DOC, .PPS, .RAM y .ZIP, y se copia a si mismo también con esos nombres (pero con la extensión .PIF) en el mismo directorio System.

El gusano crea además los siguientes archivos con los atributos de ocultos (+H):

C:\Windows\System\Explore.exe
C:\Windows\System\SMTP.ocx

Realiza las siguientes modificaciones en el registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Explore = c:\windows\system\Explore.exe

HKEY_CURRENT_USER
DeathTime = [contador]

Esta última entrada es el contador mencionado al principio.


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior, aunque seguramente, si la rutina destructiva se llegó a ejecutar, la única solución efectiva sea reinstalar todos los programas y aplicaciones, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Explore = c:\windows\system\Explore.exe

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_Current_User
\Software
\Kazaa
\LocalContent

5. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

dir0 = 012345:C:\Windows\System
dir1 = 012345:C:\Windows\System
[etc.]

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

30/may/03 - Alias: W32/Holar-H, I-Worm.Hawawi.e, W32/Wlots




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com