Asunto: A Windows Trick

Texto: This is a cool Windows Trick.
Microsoft has not developed a patch
for this because they do not want to.
Execute the file attached to learn
more of this Windows Trick. If it did
not work, use a Linux system instead.

Datos adjuntos: [varios nombres de archivos]

Cuando se ejecuta (doble clic sobre el adjunto), el gusano se copia a si mismo en el directorio System de Windows y en la carpeta personal del usuario infectado (Mis documentos).

La copia en la carpeta \System utiliza el mismo nombre del adjunto recibido, pero con el agregado de la doble extensión .JPG.EXE. Por ejemplo, si el nombre del archivo es EJEMPLO.EXE, se graba como EJEMPLO.JPG.EXE.

También agrega la ubicación de la copia del gusano guardada en la carpeta "Mis documentos" en la siguiente entrada al registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

"Mis documentos" ("My documents" en inglés), tiene diferentes ubicaciones de acuerdo a la versión de Windows instalada.

El gusano utiliza la interface MAPI (Messaging Application Programming Interface) para enviar copias de si mismo a todos los contactos de la libreta de direcciones del Outlook de la máquina infectada en un mensaje como el descripto antes.

Contiene una rutina maliciosa que deshabilita el botón de "Inicio" ("Start" en inglés), en Windows NT, 2000 y XP. Esto no funciona en Windows 95/98.

Al ejecutarse muestra una ventana de texto con el siguiente mensaje:

The trick worked

En las versiones en español, en caso de desaparecer el botón de "Inicio", puede accederse a las opciones del menú con la tecla de Windows, o pulsando CTRL+ESC.


Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, primero deberá identificar el nombre de los ejecutables infectados, ya que éste se genera al azar. Para ello, actualice sus antivirus y examine su sistema, tomando nota de los archivos infectados. Luego proceda de la siguiente manera:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale los procesos que coincidan con los nombres de los ejecutables infectados y seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

3. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la entrada que coincida con el nombre del ejecutable infectado detectado antes.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Borre los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com