HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Please..." = "C:\WINDOWS\FONTS\JERRY.vbs"

El virus examina luego si el siguiente valor existe en el registro:

HKEY_CURRENT_USER\Control Panel\International
iCountry = 34

Si no existe, crea la siguiente entrada:

HKEY_LOCAL_MACHINE\Software
Singapore = "0"

Si en cambio existe la entrada:

HKEY_CURRENT_USER\Control Panel\International
iCountry = 34

Entonces pone el siguiente valor:

HKEY_LOCAL_MACHINE\Software
Singapore = "1"

En cualquier caso que la entrada "HKEY_LOCAL_MACHINE\Software\Singapore" no sea "1", el virus procesa su rutina maliciosa, la cuál consiste en borrar todos los archivos que coincidan con la siguiente lista, de los discos duros, unidades de red y unidades RamDisk:

*.ace
*.asf
*.asm
*.arj
*.avi
*.bmp
*.doc
*.gb
*.gba
*.gbc
*.gif
*.jpeg
*.jpg
*.js
*.lhz
*.log
*.mdb
*.mid
*.mod
*.mov
*.mp
*.mp2
*.mp3
*.mpeg
*.mpg
*.pdf
*.ppt
*.rar
*.rm
*.rtf
*.smc
*.txt
*.wav
*.wp
*.xls
*.zip
regedit.*
regedb32.*

Si la fecha actual es 12 de junio, el gusano muestra el siguiente mensaje en una ventana con el círculo rojo y la "X" blanca (de error):

Happy Birthday!
ORD LOH!! End Of Suffering! Happy Birthday Edwin & Jeremy!
[    OK    ]

Para eliminar manualmente este virus, busque y elimine los siguientes archivos:

C:\Windows\Fonts\ORD.doc.vbs
C:\Windows\Fonts\ORD_photo.jpg.vbs
C:\Windows\Fonts\JERRY.vbs

Con REGEDIT (si no se ejecutó la rutina destructiva), desde Inicio, Ejecutar REGEDIT + Enter, buscar y borrar la clave "Please...":

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Please..." = "C:\WINDOWS\FONTS\JERRY.vbs"

Si se ejecutó la rutina destructiva de este archivo por ejemplo, REGEDIT.EXE no existe, debiéndose reinstalar el mismo. Si el virus ya ejecutó su rutina maliciosa, las consecuencias pueden ser imprevisibles.

El virus utiliza el truco de la doble extensión para disimular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.

- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.

- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm

El virus se activa siempre por la ejecución directa del usuario, y no tiene ninguna capacidad de propagación a través de la red (no es un gusano). Sin embargo, tenga en cuenta que cualquier archivo previamente infectado, podría ser enviado en forma premeditada o por accidente, en un correo electrónico, o descargado desde un sitio en Internet. Por supuesto, usted jamás debería ejecutar nada por primera vez, sin revisarlo antes con sus antivirus al día.

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com