Multifuncional
Voce acaba de descobrir mais um
       excelente recurso de seu
             microcomputador!
    [                Utilizar              ]

Al pinchar en el botón [Utilizar], la bandeja de la lectora de CD se abre, y al mismo tiempo se muestra este otro mensaje:

Porta Copos
Un excelente e util PORTA COPOS!
                   [     OK    ]

Al pinchar en el botón [OK] aparece este nuevo mensaje:

Multifuncional
Voce acaba de descobrir mais um
        excelente recurso de seu
             microcomputador!
    [                Fechar                 ]

Al pinchar en [Fechar] se cierra la bandeja.

Mientras estos mensajes son mostrados, el troyano se copia a si mismo como WSYS.EXE en la carpeta Windows:

C:\Windows\WSys.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).

Luego modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema infectado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
BOOT Verify = C:\Windows\WSys.exe /plus

También se crea esta entrada:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
CountStart = 1

El contador aumentará de 1 en 1 en cada ejecución del troyano en la computadora infectada.

En sistemas en portugués, se sobrescriben todos los archivos no abiertos por el sistema en todas las carpetas y subcarpetas de las unidades de disco locales y las compartidas en red. Los archivos sobrescritos quedan todos con un tamaño de 1 byte de longitud.

Note que se trata de un programa maligno, no es un virus ni un gusano, que pueda propagarse por si solo, aún cuando haya sido visto en el intercambio de archivos a través de utilidades como KaZaa. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, en este caso, simulando mostrar una 'original' manera de convertir nuestra lectora de CD en un 'práctico' portavasos.


Reparación manual

Si se ha ejecutado la rutina destructiva del troyano, no hay forma de reparar los archivos sobrescritos, debiéndose reinstalar Windows y todos los programas.

En caso contrario, para reparar manualmente la infección provocada por este troyano, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Boot Verify

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com